[目录] 0x1 LDAP介绍 0x2 LDAP注入攻击及防御 0x3 参考资料 0x1 LDAP介绍 1 LDAP出现的背景 LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议,是一种在线目录访问协议.LDAP主要用于目录中资源的搜索和查询,是X.500的一种简便的实现. 先看一下LDAP出现的背景: 随着互联网的广泛使用,web应用的数量呈爆炸式的增长,而这些应用的资源和数据呈分布式存储于目录中.通常不同的应用会有专属于自己相关数据的目…

CSRF(Cross-site request forgery跨站请求伪造) 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左.XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站. 信任站点A, 恶意站点B, 用户C 攻击流程: 1. 前提: 用户C登录站点A --> 站点A会在用户本地浏览器产生COOKIE 2. 用户C在登录情况下,访问恶意站点B --> B会偷偷发出访问A的请求给用户C 3. 根据B的请求,用户C的浏览器带着c…

XSS主要是通过劫持用户COOKIE,执行JS脚本进行攻击 如何发现: 可以使用<script>alert(/yourname/)</script> script最具有代表性也可以使用其他标签 <b>asdasd</b> 看有没有效果, 闭合标签 >"<b>asdasd</b>最核心的原理就是打破了页面布局,插入了自己定义的HTML标签 如何防御: 1. 设置HTTP ONLY 2. 对用户输入进行合法性校验,最好前端…

如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度.而本文要介绍一本能很好回答这个问题的优秀书籍——<web application defender's cookbook>,这 是一本被低估的“干货”书籍,虽然是为ModSecurity量身定制,但里面提到的防御技巧对web安全从业者均有启发,是WAF版的孙子兵法(有趣的 是,这本书的每个章节均以孙子兵法作为开篇语). 这本书提出了使用ModSecurit…

1.人要有点精神 人要有点精神,否则,不是沦落为毫无意义的看客,就是退化成食色性也的动物,有被开除球籍的危险,如晚清. 2.框架 引号头文件在当前目录下搜寻,三角头文件在配置目录下搜寻,这是一个简单的梯次布局. 建一框架项目,将基础性的工作交给它,而在真正的游戏项目中,只需添加变动的部分即可,这又是一个梯次布局. 将特效文件生成后,供多个项目使用,这也是一个梯次布局. 梯次布局,纵深防御,不仅适用于作战,也适用于编程. 需要注意的是,C++ 添加的存在项,最好不要修改.否则,就像指针或引用,修改…

来源:HTTP://WWW.CNBLOGS.COM/GOODHACKER/P/3864680.HTML ANDROID应用安全防御 Android应用的安全隐患包括三个方面:代码安全.数据安全和组件安全. 1. 代码安全 代码安全主要是指Android apk有被篡改.盗版等风险,产生代码安全的主要原因是apk很容易被反编译.重打包.我们可以采用以下方法对apk进行保护: 1.1 代码混淆 代码混淆可以在一定程度上增加apk逆向分析的难度.Android SDK从2.3开始就加入了ProGuar…

相关学习资料 http://zh.wikipedia.org/wiki/Java数据库连接 http://lavasoft.blog.51cto.com/62575/20588 http://blog.csdn.net/cxwen78/article/details/6863696 http://www.ibm.com/developerworks/cn/java/jdbc-objects/index.html?ca=drs http://www.moon-soft.com/doc/37897.…

Description Freda的城堡——“Freda,城堡外发现了一些入侵者!”“喵...刚刚探究完了城堡建设的方案数,我要歇一会儿嘛lala~”“可是入侵者已经接近城堡了呀!”“别担心,rainbow,你看呢,这是我刚设计的导弹防御系统的说~”“喂...别卖萌啊……” Freda控制着N座可以发射导弹的防御塔.每座塔都有足够数量的导弹,但是每座塔每次只能发射一枚.在发射导弹时,导弹需要T1秒才能从防御塔中射出,而在发射导弹后,发射这枚导弹的防御塔需要T2分钟来冷却.所有导弹都有相同的匀速飞…

恒天云技术分享系列:http://www.hengtianyun.com/download-show-id-13.html 云主机的网络结构本质上和传统的网络结构一致,区别大概有两点. 1.软网络管理设备(如nova-network,open switch)部分替代硬件网络设备 . 2.多虚拟服务器共享一个宿主机物理网卡(使用Trunk技术). 那么对于云服务器的安全,我们也可以采用传统的网络安全技术去防御.对于云主机,我们同时也需要做好宿主机的防火墙配置,以及安全设置. 1.对于虚拟机进行虚拟…

http://www.ityran.com/archives/2105 本文由子龙山人原创,泰然授权转载,转载请注明出处并通知子龙山人! 声明:防御式编程是提高程序代码质量的一种手段,它不能算是真正意义上的模式.但是,这里,我还是要给它冠之以“模式”二字. 原因有2: 1.cocos2d-x的框架源代码大量采用了防御式编程技术,用来确保框架的代码质量和稳定性. 2.标题党,引起大家对于防御式编程的重视.特别是当大家给cocos2d-x贡献源代码的时候,更应该要注意保证代码质量.因为,王哲大大在r…