安全相关内容

安全 - 如何屏蔽电脑向外发送邮件,求实现思路!

问 题 为了公司内部保密,需要做个能够屏蔽公司内部个人办公电脑向外发送邮件的插件,这个该如何实现呢? 解决方案 最简单的就是封端口,邮件服务商常用的端口也没几个。 这个是客户端的 email网页端因为是web的,走的是80和443端口,太常用了,不能封,只能封域名。 ..
发布时间:2017-09-06 12:12:44 其他开发

php - 一般的“用户密码重置”算法是如何的?

问 题 比如,当用户Email收到密码重置的链接后,单击链接可以打开“重设密码”的页面,该页面上一般只有两个文本框:密码框和密码确认框,这个时候用户提交的时候如何保证安全?主要是如何保证重置的确实是Email链接里指定的用户的密码(而不是别人的密码)? 补充: 重置密码表单上除了上文提到的一个密码框和一个密码确认框外,我想一般还有一个User_id之类的隐藏框吧?貌似现代浏览器可以修 ..
发布时间:2017-09-06 11:39:52 PHP

nginx - 不同IP对一个php上千万次请求,是cc攻击吗?怎么防?

问 题 如题,静态文件可以正常访问,PHP无响应 看nginx日志同一个某个php url被大量请求,目前弄了5台负载均衡在扛,每台每天都有数百万个请求,并且IP地址都不同。 暂时只能手动在nginx配置里边对请求的URL屏蔽,但攻击者更换地址就得手动重新改配置了,有啥好办法可以自动预防阻挡这种攻击? 解决方案 没找到比较好的办法,最终通过多架了几台服务器做负载均衡硬抗下来. ..
发布时间:2017-09-06 10:12:19 其他开发

php - 移动 APP 端与服务器端用户身份认证的安全方案

问 题 公司的 mobile app 是外包给其他公司做的,所以现在他们需要我们提供 API 接口进行调试,由于没有 API 开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。 搜集了一些资料,大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。 这里有两个问题,首先这样直 ..
发布时间:2017-09-06 09:13:14 PHP

php - SQL注入如何防范?

问 题 昨天晚上已经11点多的时间,一个朋友突然找我说她们公司的网站的漏洞被提交到wooyun了。(然后就跟妹子大概了解了一下漏洞的情况 PS:妹子是php程序员) wooyun上提交了两处漏洞,1处是SQL注入 (经过了解,她们公司的用的框架是11年的老框架,还是mysql_query()这些老的mysql函数) 另一处就是cookie的问题,妹子把用户的uid,等敏感信息都写进co ..
发布时间:2017-09-06 08:46:39 PHP

javascript - 一些网站在用户提交登录时将密码框中的密码用js进行了一次不可逆加密,然后提交。这样做有必要么?有什么好处和坏处?

问 题 这些网站的流程大概是这样的: 用户注册时: 用户填写密码 用户点击提交 提交前在前端将密码加密 存入数据库前再将密码加密 用户登录时: 用户填写密码 用户点击提交 提交前在前端将密码加密 将密码传人服务器并再次加密 比对数据库中的密码 我觉得这样做只不过能防止别有用心的人获取你的明文密码,但他们仍然能够在不知道明 ..
发布时间:2017-09-06 08:04:40 PHP

java - Spring Security + Tomcat SSO

问 题 请教各位大神, 我有多个 Webapps 部署在一个 Tomcat 上。每个 Webapp 都使用 Spring Security 控制机制,进行用户认证和权授。 这个后台认证和权授的数据库是统一的。 我希望能在这些 webapp 之间实现 SSO – Single Sign On -- 其中一个 Webapp 上登录后,就可以按权限访问其它的 webapp。 ..
发布时间:2017-09-06 06:37:13 Java开发

安全 - 阿里云ecs密码暴力破解

1.问题 我登录了阿里云网页版,看到自己的服务器ecs密码被尝试暴力破解的消息。 很奇怪,红框中的ip都是我自己的ip,第一个115.236.9.83是在学校的出口ip,第二个218.109.155.124是我在家里时的出口ip。 我对于服务器的操作,无非就是,ssh远程登录(用ssh key,无密码),以及git push到服务器上执行自动部署,并没有什么“暴力破解ecs密码” ..
发布时间:2017-09-06 06:36:57 其他开发

javascript - PHP cURL或者类似的客户端请求不算跨域,会不会不安全?有什么防范措施?

问 题 之前我以为PHP cURL模拟请求也会有跨域限制的。 疑问 在之前设计接口的时候,需要权限访问的敏感数据(例如需要登录后查看的个人数据)。我是会做token检测的。 但是其他的普通接口可以直接获取的,只是添加了跨域头,防止跨域调用,但是后面发现,通过PHP cURL是能调用成功的。后面看了eechen的回答。如下: 同源策略防止跨域是浏览器中的安全机制.而PH ..
发布时间:2017-09-06 05:53:16 PHP

web - 求前端安全测试框架的名字

问 题 之前看到过一个前端安全测试框架之类的什么东西,不记得名字 大概是这么一个东西: 一个开源网站,可以下载后自行部署 自带各类前端漏洞,方便安全实战学习 求名字或者关键字 解决方案 DVWA、 乌云靶场 具体链接见https://www.zhihu.com/questio... ..
发布时间:2017-09-06 05:48:24 其他开发

javascript - 请问我这是什么原因?【网络安全,nginx,php,js相关】

已解决,更换了jquery导入为 七牛云静态资源加速。然后就不出现这个问题了。 说明js文件内部有问题。也给自己提了个醒,不要乱使用外部js。谢谢回答的同学! 偶尔刷新页面后,正常来说应该是都来自一个地址的。为什么会有三个从外面地址请求过来的东西?(上面画黑线的都是同一个地址,画黄色线的就是来自其他的地址) 正常的应该是这样的: 我是前端,我不是很懂这是为什么?(自己猜测是不是 ..
发布时间:2017-09-06 05:31:09 PHP

java - Spring RESTful API如何做到对象(资源)级别的权限控制

问 题 比如"/api/v1/orders/{orderID}/action/cancel",这是一个对订单进行取消的API地址,很明显能进行这个操作的必须是订单交易双方用户,即用户只能操作orderID是属于自己的订单 1.spring security还有shiro这些安全框架都是基于角色(role)来做控制,没有精确到对象级别,虽然他们也有对象级别的权限控制,但是十分复杂不优雅, ..
发布时间:2017-09-06 05:19:32 Java开发

安全 - tls握手时,client如何请求证书有效性的?

问 题 https建立连接时,先tcp的3次握手,然后再tls的2次rtt交互; 在tls的serverhello过程中,server将服务器证书返回给client,再server没有配置ocsp stapling时,client 会去请求ca验证证书的有效性以及过期时间; 请问这个请求过程,如何通过wireshark抓包或者其他的抓包工具抓到这个请求 想看一下请求和返回信 ..
发布时间:2017-09-06 05:03:05 其他开发

网站安全 - 给政府做机密网站,安全防范要注意哪些?现有成熟的安全防范方案吗?

问 题 网站是给政府人员用的 用户量在1000以内 在 应用安全 数据安全 还有 数据传输上的安全 这些方面需要注意哪些方面? 是否有成熟的方案可供参考呢? 解决方案 1、用https 2、注意服务器系统的升级 3、选择比较成熟的架构 4、防止一些sql注入 5、做好数据库的备份 ..
发布时间:2017-09-06 02:17:41 其他开发

php - 数据库与逻辑应用分离的情况下怎么保证信息同步,或者叫安全

问 题 我不太明白这个词怎么表达 是这样的,现在有一台服务器运行数据库(server),另外一台运行php程序(client),浏览器(Browser)访问client,然后client逻辑判断后通过http协议对server中的数据库进行CURD操作 有个问题就是,如果Browser的用户操作过快,而server和client之间http请求太慢的话,就会导致client上获取 ..
发布时间:2017-09-06 00:49:21 PHP

php - 涉及到金额有关的api,如何做安全验证机制。

问 题 场景:和一家传统企业合作,用户交易利用他们线下收银系统结算,结账之前会和我们提供的api产生交互,请求我们平台提供的优惠卷,确认实际应收金额,完成交易,最后把交易订单详情数据提供给我们。 因为接口数据中涉及到一些交易额等等,应该怎么样,确保接口请求的合法性,安全等等。 解决方案 参考一下支付宝。。公钥私钥ssl ..
发布时间:2017-09-05 23:22:38 PHP