spring-boot springloaded 热部署 spring
使用spring boot时候会有默认是banner如下图所示:在自己的项目里面使用自己的banner那不是更加酷了吗!在大Java世界里很容易做到:只要在自己的项目中新加:/springboot/src/main/resources/banner.txt,并到http://patorjk.com/software/taag-v1/ 去生成一个自己喜欢的文字,并复制到banner.txt文件中,重
第18章 安全运营18.1 把安全运营起来战略:q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--入侵检测18.2 漏洞修补流程流程:q 建立类似Bug Tracker的漏洞跟踪机制,并为漏洞的紧急程序选择优先级q 建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现q 对曾
第17章 安全开发流程(SDL)17.1 SDL简介安全开发是从根源有效地解决安全漏洞问题,而已在软件的生命周期内,这样的开发模式成本更低。SDL过程:q 培训所有的开发人员必须接收适当的安全培训,了解相关的安全知识。q 安全要求明确项目的安全要求。q 质量门/bug栏质量门和bug栏相当于确定安全和隐私质量的最低可接受级别。q 安全和隐私风险评估评
第16章 互联网业务安全16.1 产品需要什么样的安全安全是一个独立的,应该与业务持平。16.1.1 互联网产品对安全的需求安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。16.1.2 什么是好的安全方案我认为好的方案是:q 人性化q 智能化q 性价比高再次强调,安全是产品的一种特性,如果产品能够潜移默化地培养用
第15章 web server配置安全15.1 apache安全在linux部署安装web Server时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2 nginx安全Nginx 安全配置指南技术手册 PDF 下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxidc.com具体下载目录在 /pub/服务器相关教程/Ngin
略
第13章 应用层拒绝服务攻击13.1 ddos简介DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。这种攻击方式可分为以下几种:q 通过使网络过载来干扰甚至阻断正常的网络通讯;q 通过向服务器提交大量请求,使服务器超负荷;q 阻断某一用户访问服务器;q 阻断某服务与特定系统或个人的通讯。IP SpoofingIP欺骗攻击是一种黑客
第12章 WEB框架安全12.1 MVC框架安全在Spring框架中可以使用spring security来增加系统的安全性。12.2 模板引擎与XSS防御 12.3 WEB框架与CSRF防御在MVC中防御CSRF:q 在Session中绑定token。如果不能保存到数据库中的Session,则使用Cookie.q 在form表单中自动填写token字段q&nbs
第11章 加密算法与随机数11.1 概述攻击密码系统的方法密码分析者攻击密码系统的方法主要有以下三种:(1)穷举攻击 所谓穷举攻击是指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密,直至得到正确的明文.(2)统计分析攻击 所谓统计分析攻击就是指密码分析者通过分析密文和明文的统计规律来破译密码。 (3)数学分析攻击所谓数
第10章 访问控制10.1 what can i do?权限控制是值某个主体(身份)对某一个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在一个安全系统中,确定主题的身份是“认证”解决的问题;而客体是胭脂红资源,是主题发起的请求对象。在主体对客体进行操作的过程,系统控制主体不能“无限制”地对客体进行操作,这过程就是“访问控制”。在WEB应用中,根据访问楷体的不同,常见的访问控制可以分为
第9章 认证与会话管理9.1 who am i?认证包含了身份和身份认证两层含义。q 身份—我是谁?q 身份认证—这就是我。认证的目的就是为了认出用户是谁?而授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证的过程。9.2 密码的那些事儿一般为了安全与用户体验性,采用“双因素”验证的比较多,例如支付中的密码和手机动态密钥。我认为在用户注册的时候应该检测一下用户使
第8章 文件上传漏洞8.1 文件上传漏洞概述文件上传漏洞是指用户上传一个可执行的脚本文件,并通过此脚本文件活动执行服务器端的能力。原理:由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件。文件上传漏洞安全问题:q 上传文件是WEB脚本文件,服务器的WEB服务器解释并执行了用户上传的脚本,导致代码执行;q&
第7章 注入攻击SQL注入的两个条件:1,用户可以控制输入;2,原本执行的SQL语句并接了用户输入的数据。7.1 sql注入SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.盲注:盲注是在服务器没错误回显
第6章 HTML 5 安全6.1 HTML 5新标签6.1.1 新标签的XSSHTML5定义了新的标签、新的事件,这就有可能带来新的XSS攻击。所以黑白名单需要时常更新。6.1.2 iframe的sandboxiframe的sandbox属性,就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型,text-html/sandboxed。在html5页面中,可以使用ifra
第5章 点击劫持(clickjacking)5.1 什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q 点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。q 点击劫持技术可以用嵌入代码或者文
第4章 跨站点请求伪造(CSRF)4.1 CSRF简介CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。4.2 CSRF进阶浏览器所持有的Cookie分为
第3章 跨站脚本攻击(xss)3.1 xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS本质就是HTML注入XS
第2章浏览器安全2.1 同源策略同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。注意:对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的是加载javascript页面所在的域是什么。在浏览器中<script>、<iframe>、&
第1章 我的安全世界观1.1 web安全简史1.1.1 中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”,因为互联网存在这大量的利益。1.1.2 黑客技术的发展历程1.1.3 web安全的兴起web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足。为什么要攻击Web应用,我认为主要有以下几个原因:q web应用无处不在。q
N年前,刚刚毕业不久,去网秦面试过,那时候的笔试题,我面试回来后把面试题和我的解法都记录下来了,最近整理笔记发现的,就发出来,纪念一下吧。1,单例模式的介绍和示例。单例模式是一种常用的软件设计模式。在它的核心结构中只包含一个被称为单例类的特殊类。通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界 访问,从而方便对实例个数的控制并节约系统资源。如果希望在系统中某个类的对象只能存在一个,单
这是很久之前的代码了,最近需要使用了,了就记录一下。maven:<dependency> <groupId>com.sun.mail</groupId> <artifactId>javax.mail</artifactId> &nb
一直依赖我都不是很喜欢自动生成代码的工具,因为生成出来的代码不是很好的,适应性不好! 再说,自己写一些代码也是消耗不了多少时间的。但是应同学的要求,我帮他安装了MyBatis Generator。pom.xml:<plugins> <plugin>
简介保证数据的一致性是数据库的一个最最基本的功能,那数据库在机器down机或者出现其他意外的情况下是如何去保证数据库的数据的一致性的呢?数据库本身主要依靠undolog和redolog两种日志文件去保持数据的一致性,本文将围绕undolog进行介绍。如何利用undolog去实现数据库的一致性。数据库架构简介要介绍数据库一致性的实现机制,自然少不了要介绍下数据库的整体架构,这里画一个简图来介绍下数据
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
