1、Java语言有哪些优点?1)Java为纯面向对象的语言。everything is object!2)平台无关性。“一次编译,到处运行”。可以很好地跨平台执行,具有很好的可移植性。3)Java提供了很多内置的类库,通过这些类库,简化了开发人员的程序设计工作,同时缩短了项目的开发时间。4)提供了对web应用开发的支持。5)具有较好的安全性和健壮性。Java语言经常被用在网络环境中,为了增强程序的
转载
2023-07-16 14:58:05
13阅读
附件有pdf下载(这个pdf国外下载被和谐掉了),同样,你也可以去下面链接去看:[url]http://guides.rubyonrails.org/security.html[/url]
原创
2008-11-05 03:39:37
823阅读
可以接着上一章来看:三 Cross-Site Reference Forgery (CSRF)- 这个攻击方法包含恶意代码或是一个用户信任的已验证的web应用页面的链接。如果session没有过期,攻击者就可能执行未授权的命令。在session那一章里,你已经了解,大多数的Rails应用都使用基于cookie的session。要么他们在cookie里存储一个session id,服务端
推荐
翻译
2008-11-08 02:36:09
1389阅读
1评论
本系列文章已发布在译言:[url]http://www.yeeyan.com/articles/view/blackanger/17603[/url]四 重定向和文件另一类安全问题是围饶在web应用里重定向和文件的使用。4.1 重定向web应用里的重定向是一个被低估的craker工具:它不仅可以让用户掉入一个陷进网站,而且还可以创造一个完备的攻击。当用户被允许由一个URL重定向的时候,
推荐
翻译
2008-11-09 04:36:37
1893阅读
1评论
我的译言链接:[url]http://www.yeeyan.com/articles/view/blackanger/17939[/url]
5. 企业内联专用网和管理安全
— 企业内联网和管理界面是最流行的攻击目标, 因为它们有特殊的访问权限. 虽然它会有一些额外的安全措施,可是现实里并非如此。
2007年,在线招聘站点Monster.com遭受了一起定制木马(Ta
推荐
翻译
2008-11-15 06:12:39
1623阅读
2评论
本文的译言链接是: [url]http://www.yeeyan.com/articles/view/blackanger/18007[/url]8.注入— 注入这类攻击是给一个web应用引入恶意的代码或是参数,以便在其安全的上下文里运行。注入的著名的例子就是跨站点脚本(XSS)和SQL注入。注入是非常棘手的,因为相同的代码或参数在一个环境是恶意的,但是换个环境却是完全无害的。一个上下文
推荐
翻译
2008-11-18 05:28:04
2078阅读
3评论
Ruby On Rails 安全导读这个指南描述的是在web应用里普遍的安全问题,同时也给出了在Rails里如何避免这些问题。如果你有任何问题,请mail作者,Heiko Webers, at 42 {et} rorsecurity.info. 读完此文后,你应该会了解: 1.所有的对策已经被高亮显示了 2.在Rails里session的概念
转载
2008-12-13 20:51:48
402阅读
四 重定向和文件另一类安全问题是围饶在web应用里重定向和文件的使用。4.1 重定向web应用里的重定向是一个被低估的craker工具:它不仅可以让用户掉入一个陷进网站,而且还可以创造一个完备的攻击。当用户被允许由一个URL重定向的时候,它由可能就是个漏洞。最明显的攻击是将用户重定向到一个和原始页面一模一样的假页面。这个所谓的‘钓鱼攻击’通过给用户发送一封包含正常的不让人起疑的链接的e
转载
2008-12-13 20:56:58
237阅读
原文地址:[url]http://guides.rubyonrails.org/security.html[/url]--------翻译分割线 ,翻译的不好,请多多指正--------Ruby On Rails 安全导读这个指南描述的是在web应用里普遍的安全问题,同时也给出了在Rails里如何避免这些问题。如果你有任何问题,请mail作者,Heiko Webers, at 42 {
推荐
翻译
2008-11-07 01:10:41
2336阅读
1评论
8.注入
— 注入这类攻击是给一个web应用引入恶意的代码或是参数,以便在其安全的上下文里运行。注入的著名的例子就是跨站点脚本(XSS)和SQL注入。
注入是非常棘手的,因为相同的代码或参数在一个环境是恶意的,但是换个环境却是完全无害的。一个上下文可以是一个脚本,查询或是程序语言,shell或是Ruby/Rails方法。 下面的章节会涵盖所有重要的注入攻击可能发生的所有上下文。然而第一
转载
2008-12-13 21:01:59
343阅读
/^[\w\.\-\+]+$/end这个意思是说,在保存之前,这个model会验证仅由字母数字字符,点,+和-的组合的文件名。程序里增加里^和$以便文件名这个字符串从开始到结束都包含这些字符。然而,在Ruby里,^和$匹配的是行开始和行结束。因此这样的一个文件名可以毫无问题的通过这个过滤器 :file.txt%0A<script>alert('hello')</script>由于%0
推荐
翻译
2008-11-16 04:52:57
1452阅读
1评论
可以接着上一章来看:三 Cross-Site Reference Forgery (CSRF)- 这个攻击方法包含恶意代码或是一个用户信任的已验证的web应用页面的链接。如果session没有过期,攻击者就可能执行未授权的命令。
转载
2008-12-13 20:55:24
323阅读
5. 企业内联专用网和管理安全
— 企业内联网和管理界面是最流行的攻击目标, 因为它们有特殊的访问权限. 虽然它会有一些额外的安全措施,可是现实里并非如此。
2007年,在线招聘站点Monster.com遭受了一起定制木马(Tailor-made Trojans)攻击,这是第一只专门从企业内联网偷窃信息的定制木马。定制木马是非常罕见的,迄今为止,发生率比较低, 但是它也确实是可能发
转载
2008-12-13 20:58:15
349阅读
7. 用户管理
— 几乎每个web应用都必须去处理授权和认证。避免你自己重复造轮子,建议你去使用通用的插件。但是请保持它们是最新的。一些额外的预防措施可以让你的应用更加安全。
有一些Rails可用的授权和认证插件。密码加密以后保存好于直接保存纯文本密码。最流行的插件是可以避免session定制的restful_authentication。 然而早期的版本在某些情况下你即使没有
转载
2008-12-13 21:00:44
218阅读
看过本文之后,你应该熟悉下面的内容:
所有显著的对策。
rails中session的概念,其中存放的内容,常见的攻击手段。
rails中大量的分配问题。
在提供管理接口的时候,你不得不关注的一些事情。
如何管理用户:登陆,退出,在各个层面的攻击方法。
流行的注入攻击方法。
翻译
精选
2012-10-25 00:17:32
782阅读
Java技术的设计人员在一开始就关注到了关于语言的安全问题。相较于其他语言,Java的安全机制是该语言不可分割的一部分,是提前被想到并且实现的。Java语言提供了以下三种确保安全的机制:语言设计特性(数组边界,类型转换,空指针)访问控制机制(控制代码能够执行的操作,访问文件等等)代码签名(认证该代码来自哪里)下面我们首先了解类加载器和类加载机制,类加载器可以在类加载到虚拟机时检测其是否被损坏。Ja
转载
2023-08-03 16:22:42
342阅读
为了达到安全性的目的,java 提供了一个用户可配置的“沙箱” 在沙箱中可以放置不可靠的Java程序。1.0中applet的活动限制1.对本地硬盘的读写2.进行任何网络连接,但补课连接到提供此applet的源主机3.创建新进程4.装载新的动态链接库 基本沙箱组件如下1.类装载器结构2.class文件检验器3.内置Java虚拟机(及语言)的安全特性4.安全管理器及JavaApi
转载
2023-08-22 19:19:05
87阅读
据说现在一台pc(Windows系统)上网的时候,如果没有任何杀毒软件防火墙,那么十分钟之内就会被沦陷为病毒之城。为什么会如此呢?因为你上网的时候,可能有的网站会被植入病毒,植入木马什么的,网站的用户只要一登陆,如果没有任何防护措施,那么你的机器肯定会马上被攻陷了。当然了,网站也不是故意要挂病毒和木马给用户的,主
推荐
原创
2008-08-08 14:19:28
3386阅读
2评论
因为最近项目所需,翻到这篇老文,去年8月的文章,比较有用,原文地址:[url]http://weblog.rubyonrails.com/2006/8/21/filtered-parameter-logging[/url]ActionController#filter_parameter_logging 可以用来过滤那些你不想保存在日志中的数据,它可以阻止一些敏感数据赤裸裸的暴露在日志文件中,比如
翻译
精选
2007-07-27 12:08:33
932阅读
各种加密实现http://www.blogjava.net/stone2083/archive/2012/09/02/168113.htmljava->类加载器->文件校验器->安全管理器简述:校验器的作用:校验类文件是否完整安全管理器: 负责控制某个操作是否被允许用户认证数字签名加密数字签名更多是用来校验信息有没有被修改过,而加密可以彻底杜绝防止别人看到信息内容1. 语言层次安
转载
2023-06-12 17:29:24
120阅读
