Defonds 的专栏

情绪是最没用的东西~判断力比能力更重要~

Java 进行 RSA 加解密时不得不考虑到的那些事儿

1. 加密的系统不要具备解密的功能,否则 RSA 可能不太合适公钥加密,私钥解密。加密的系统和解密的系统分开部署,加密的系统不应该同时具备解密的功能,这样即使黑客攻破了加密系统,他拿到的也只是一堆无法破解的密文数据。否则的话,你就要考虑你的场景是否有必要用 RSA 了。2. 可以通过修改生成密钥的...

2015-01-16 11:56:05

阅读数 105256

评论数 22

电子商务网站互联网安全防御攻略

电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题。

2014-12-09 18:00:16

阅读数 10680

评论数 13

Linux 安全系列教科书之 HTTPS 是如何工作的?- 初学者指南

证书颁发机构是互联网安全的最重要的基础之一。在没有人可以被信任时,证书颁发机构是首先被所有人所信任的人。之后,此证书颁发机构 (又名 CA) 的任务是确保服务器和客户端通过互联网建立通信之前先建立它们之间的信任。CA 的重要性不仅体现在浏览器和 web app 所使用的 HTTPS,还包括加密邮件...

2019-02-01 11:02:11

阅读数 307

评论数 0

Apache HttpClient 的 HTTPS 调用实现

本文将详细介绍如何使用 Apache HTTPClient 库来进行安全的 HTTP(HTTPs) 调用。 最简单的办法当然是忽视 ssl 证书并信任任何连接。但这种方式对于生产代码是不能接受的,因为它违背了使用 HTTPS 的初衷。尽管如此,在某些场景下,如果你想尽快尝试 HTTPS 的话你也可...

2019-01-22 14:41:57

阅读数 3084

评论数 0

理解 Java 的 keytool 工具,如何使用 .crt 文件,解决证书相关问题

Java 的 keytool 工具可以用于 https 连接,能够只允许经过授权的客户访问。任意工具或者 Java 代码都可以使用一个安装好的证书来访问服务器。 Java keytool 是如何工作的 也许你想让你的服务器可以公开访问,但仅限于特定的团队或组织。 或者你为企业构建了一个基础设...

2018-12-19 15:41:56

阅读数 1066

评论数 0

为何安全专家都厌恶 SOA

乍看之下 SOA 的安全似乎没有什么特别之处。毕竟,它 (和其它架构场景一样) 涉及相同的基本主题,如认证、授权、身份、信任、机密性、完整性以及策略管理。尽管如此,SOA 架构其实更加难以进行安全把控 - 足以让安全分析师累成狗。1. 安全不能够违反 SOA 设计原则SOA 服务是可以服用的、松耦...

2017-05-04 09:18:00

阅读数 8605

评论数 0

SOA 安全概览

SOA 服务具备清除边界和技术差异的能力。这给我们带来了一个灵活和可定制的架构,但是同时也带来了大量的安全挑战。以下是 SOA 安全的相关的一些方面:SOA 的安全不仅仅是一个技术问题 - 对于任意 SOA 安全解决方案来讲都会面临业务和技术两方面的问题。SOA 安全不仅要考虑到服务层面,而且还要...

2017-04-11 18:02:42

阅读数 7690

评论数 0

实现 SOA 安全的简单方法

SOA 安全实现起来可以是非常容易的 - 前提是你选择的方式要正确。松耦合的、可发现的、可共用的安全工具一个简单的工具:WS-Security 对 web services 进行了加强,为 SOA 安全提供了你需要的一切:访问控制、加密、信任、传输安全以及不可抵赖。消息示例WS-Security ...

2017-03-06 13:52:22

阅读数 8826

评论数 0

SOA 的安全挑战

每个人都知道 SOA 的安全将会是一个挑战。但是为什么呢?经常会使 SOA 安全复杂化的 9 个要素:遗留应用的安全将服务和应用松耦合跨组织界限操作的服务动态的信任关系组合服务形形色色的新老技术混杂需要不断地遵循越来越多的标准列表解决方案的灵活性和可以定制性的要求1. 遗留应用的安全封装了遗留应用...

2017-02-22 16:25:31

阅读数 8492

评论数 1

仅需 90 秒,了解 WSS (主流 SOA 安全工具)

Web Service 安全 (WSS) 是对 SOAP 协议的一个安全加固。WSS 允许对 SOAP 消息进行签名和加密。它还允许给 SOAP 消息附加安全令牌。可以扩展的体系结构WSS 拥有一个可以扩展的体系结构,能够支持可插拔的签名格式以及加密算法。WSS 还支持各种安全令牌,包括 X.50...

2017-02-21 09:47:38

阅读数 9657

评论数 0

为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验

2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向加密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。笔者...

2017-01-12 09:08:55

阅读数 10640

评论数 0

tomcat 漏洞 CVE-2016-1240 分析报告

这次漏洞是 Debian 自身提供的 tomcat 包的漏洞,也就是 tomcat deb 包的漏洞,并非 tomcat 官方的漏洞。Debian 下使用 apt-get 安装 tomcat 的用户必须提高注意。该包提供做成服务的 tomcat.ini 脚本,该初始化脚本对 catalina.ou...

2016-10-11 16:02:55

阅读数 6795

评论数 0

对你的 REST API 进行保护的正确办法

计好一个漂亮的 REST + JSON API 之后,如何对你的 API 进行保护?在 Stormpath,我们花了 18 个月来寻找最佳实践,将其一一实践于 Stormpath API 中并分析其效果。本文将阐述如何保护 REST API。

2015-08-17 20:37:49

阅读数 9182

评论数 0

CentOS 下对 Nginx + Tomcat 组合的申请 SSL 证书的安装

《CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》介绍的是自己给自己颁发服务器端证书、然后再给客户端颁发证书的情况。如果你已经像你的客户一样厌倦了访问你们的网站时,浏览器弹出的安全警报,那就去申请一个 SSL 证书,如 VeriSign、Global...

2015-05-20 11:46:32

阅读数 3574

评论数 0

图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证

1. 安装 nginx1.1 nginx 包及其依赖包下载出于模块的依赖性,Nginx 依赖以下三个包:gzip 模块需要 zlib 库(http://www.zlib.net/);rewrite 模块需要 pcre 库(http://www.pcre.org/);ssl 功能需要 openssl...

2015-03-18 15:54:23

阅读数 12704

评论数 1

Java 进行 RSA 加解密的例子

加密是保证数据安全的手段之一。加密是将纯文本数据转换为难以理解的密文;解密是将密文转换回纯文本。数据的加解密属于密码学的范畴。通常,加密和解密都需要使用一些秘密信息,这些秘密信息叫做密钥,将纯文本转为密文或者转回的时候都要用到这些密钥。对称加密指的是发送者和接收者共用同一个密钥的加解密方法。非对称...

2015-01-14 11:56:09

阅读数 4647

评论数 0

CSRF 原理以及 Struts2 令牌校验防御攻略解析

struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证。CSRF 攻击原理如下图:CSRF 攻击原理图事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么也中招了呢?struts2 token 校验原理如图...

2015-01-06 16:31:52

阅读数 9345

评论数 0

使用安全令牌保护 RTMP 流

本文就如何使用安全令牌对 Wowza 媒体服务器的直播流或者点播流进行保护的过程进行探讨,就服务器端和客户端配置分别进行了详细描述。

2014-01-21 20:14:03

阅读数 10278

评论数 0

Nginx 开启 debug 日志的办法

一般来讲,Nginx 的错误日志级别是 error,作为 Nginx 用户来讲,你设置成 info 就足够用了。但有时有些难以挖掘的 bug,需要看到更详细的 debug 级别的日志,这时候,单单把 error_log 级别设置成 debug 是不行的,Nginx 记录下来的还是 info 级别以...

2013-09-12 17:30:05

阅读数 53097

评论数 0

TCPDump:捕获并记录特定协议 / 端口

Q. 如何使用 Linux / UNIX 平台下的 TCPDump 工具捕获特定协议或端口比如 80 (http)?如何使用 TCPDump 将流记录下来,然后(根据记录)查找到问题所在?         A. TCPDump 是一个用于网络监控和数据采集的工具。它可以给我们节约大量的时间,并能用...

2013-09-09 15:00:16

阅读数 28474

评论数 0

提示
确定要删除当前文章?
取消 删除