转:https://blog.csdn.net/GitChat/article/details/78431275 网络安全是一个永恒的话题,保护网络安全有很多方法,其中应用最为广泛的就是使用 SSL 证书来保护 C/S 或者 B/S 的通信安全. 但是其实很多时候,我们并不知道如何管理和配置 SSL 证书.因此,笔者在本场 Chat 中将会和大家分享下面的话题. 什么是 SSL 证书 为什么要使用 SSL 证书 什么是对称加密和非对称加密 Window 操作系统下如何管理 SSL 证书? 如何从…

语雀知识库:https://www.yuque.com/seanyu/azure/appservicessl 公众号:云计算实战 案例  添加自定义域并开启SSL保护 进入App Service控制台,点击自定义域,添加自定义域 自定义域添加之前,需要对域名所有权进行验证,需要在您的域名供应商的控制台进行添加CNAME记录 CNAME验证可能需要一定时间,请耐心等待 所有权验证成功后,点击添加自定义域即可完成添加 添加完成后,可以使用自定义域http://web.5gn.link进行访问了 如果…

引用原文地址:https://segmentfault.com/a/1190000004985253#articleHeader6 在进行 HTTP 通信时,信息可能会监听.服务器或客户端身份伪装等安全问题,HTTPS 则能有效解决这些问题.在使用原始的HTTP连接的时候,因为服务器与用户之间是直接进行的明文传输,导致了用户面临着很多的风险与威胁.攻击者可以用中间人攻击来轻易的 截获或者篡改传输的数据.攻击者想要做些什么并没有任何的限制,包括窃取用户的Session信息.注入有害的代码等,乃至于…

介绍 网络安全已成为大家最关心的问题. 如果你利用服务器存储客户资料, 那你应该考虑使用 SSL 加密客户跟服务器之间的通讯. 随着这几年手机应用迅速崛起. 黑客也开始向手机应用转移, 原因有下列3点: 手机系统各式各样, 缺乏统一的标准. 许多程序员缺乏手机应用开发经验. 更严重的是, 通过手机应用, 黑客可以得到手机用户的隐私数据, 如:日程安排, 联系人信息, 网页浏览历史记录, 个人资料, 社交数据, 短信或者手机用户所在的地理位置. 最为一个网络安全爱好者的我, 最近花了几个月的时间对…

原文链接:https://luxsci.com/blog/256-bit-aes-encryption-for-ssl-and-tls-maximal-security.html 原文发表时间:2015.2.4 本博文仅仅是上述原文的翻译,仅供研究参考,本人不对准确性作任何保证,侵立删,如有转载,需自行承担所有责任.如有翻译不准确的地方,欢迎指教. SSL/TLS是当今因特网上保护传输安全的重量级角色.然而,很多人并不知道安全的等级可以跨越“几乎没什么卵用”到“真的非常非常安全,美国政府TOP…

原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38063823,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blo…

我在前两篇文章中展示了“REST easy with kbmMW”文章,如何使用kbmMW制作REST服务器,以及如何使用该REST服务器轻松地从数据库返回和存储数据,所有这些都在不到30行的真实数据库中码. 此文章将围绕如何确保使用SSL(安全套接字层)保持与服务器的通信受到保护.换句话说,如何使REST服务器与HTTPS而不是HTTP进行通信. 有多种方法可以使用SSL保护基于kbmMW的应用程序服务器,但我将重点介绍使用OpenSSL执行此操作的一种简单方法. 首先,我们应该创建一个可以使…

在前一章,我们已经学习了HTTP消息如何通过Burp Proxy进行拦截和处理,本章我们将继续学习HTTPS协议消息的拦截和处理. HTTPS协议是为了数据传输安全的需要,在HTTP原有的基础上,加入了安全套接字层SSL协议,通过CA证书来验证服务器的身份,并对通信消息进行加密.基于HTTPS协议这些特性,我们在使用Burp Proxy代理时,需要增加更多的设置,才能拦截HTTPS的消息. 本章包含的主要内容有 CA证书的安装 CA证书的卸载 Proxy监听设置 SSL直连和隐形代理设置 我们都…

GlobalSign 增强型(EV) SSL 证书,属于最高验证级别的EV SSL,验证域名所有权,进行严格的企业真实身份验证,证书标识企业组织机构名称,强化信任度,浏览器地址栏变绿色.提供40位/56位/128位,最高支持256位自适应加密.支持多域型,所有的EV SSL证书都不支持通配型,如果需要通配型SSL证书请选择GlobalSign通配型SSL证书. GlobalSign 增强型(EV) SSL 证书特点 ●  严格审查网站企业身份和域名所有权: ●  支持浏览器的绿色地址栏.公司名称…

GlobalSign 企业型SSL 证书   GlobalSign 企业型 SSL 证书属于OV SSL,进行严格的网站所有权的验证,企业真实身份验证,证书标识企业组织机构名称,增加信任度.提供40位/56位/128位,最高支持256位自适应加密:支持多域型.通配符型. GlobalSign 企业型 SSL 证书特点 ●  验证网站所有权和企业的身份信息: ●  标准证书或通配符证书(可选): ●  支持所有主流的浏览器和移动设备所信任: ●  可同时保护您的 www. 和非 www. 网站:…

SSL/TLS All In One HTTPS SSL/TLS 的工作原理 https://www.websecurity.digicert.com/zh/cn/security-topics/how-ssl-works 浏览器尝试连接受 SSL 保护的网站. 浏览器要求 Web 络服务器确认身份. 服务器向浏览器发送其 SSL 证书副本. 浏览器检查它是否要信任该 SSL 证书.如果信任,则向服务器发送消息. 服务器发回数字签名确认以启动 SSL 加密会话. SSL / TLS 握手过程 h…

给网站装上SSL证书 前言 主要是因为自己的阿里云快过期了,自己的博客也重新用了一下Halo,重新安装SSL的时候有些地方忘了,所以在此留个记录! 关于SSL 阮一峰<图解图解SSL/TLS协议>:https://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html SSL证书是什么? SSL 证书是一个数字证书,用于认证网站的身份并启用加密连接.SSL 代表安全套接字层,这是一个安全协议,可在 Web 服务器和 Web 浏览器之间创建加密…

本书是一本介绍通信安全的书籍,如果你想保障你的通信安全,本书能给你一个很好的解决方案.本书从ssh协议介绍起,到具体的开源实现和商业实现.但本书同时介绍开源实现和商业实现,给人感觉比较乱.注意:由于openssh是开源软件,各版间的配置方法和设置参数可能会不同,所以设置时要以最新版的手册为准,不要硬套书本的设置.第一章 SSH简介ssh(secure shell)是一种通用,功能强大的基于软件的网络安全解决方案,计算机每次向网络发送数据时,SSH都会自动对其进行加密.数据到达目的地时,SSH自动…

本书是一本介绍通信安全的书籍,如果你想保障你的通信安全,本书能给你一个很好的解决方案.本书从ssh协议介绍起,到具体的开源实现和商业实现.但本书同时介绍开源实现和商业实现,给人感觉比较乱.注意:由于openssh是开源软件,各版间的配置方法和设置参数可能会不同,所以设置时要以最新版的手册为准,不要硬套书本的设置.第一章 SSH简介ssh(secure shell)是一种通用,功能强大的基于软件的网络安全解决方案,计算机每次向网络发送数据时,SSH都会自动对其进行加密.数据到达目的地时,SSH自动…

本文转自:http://blogs.msdn.com/b/azchina/archive/2011/03/06/windows_5f00_azure_5f00_security_5f00_overview_5f00_white_5f00_papaer.aspx 摘要 Windows Azure ,作为一个应用程序宿主平台必须提供私密性,完整性和用户数据的可用性.它也必须提供透明的可靠性来允许用户和他们的代理商通过自己和Microsoft追踪服务管理. 本文档描述了大量在Windows Azure…

前言 在进行 HTTP 通信时,信息可能会监听.服务器或客户端身份伪装等安全问题,HTTPS 则能有效解决这些问题.在使用原始的HTTP连接的时候,因为服务器与用户之间是直接进行的明文传输,导致了用户面临着很多的风险与威胁.攻击者可以用中间人攻击来轻易的 截获或者篡改传输的数据.攻击者想要做些什么并没有任何的限制,包括窃取用户的Session信息.注入有害的代码等,乃至于修改用户传送至服务器的数据. 我们并不能替用户选择所使用的网络,他们很有可能使用一个开放的,任何人都可以窃听的网络,譬如一个咖…

uwsgi启动Django应用   uWSGI是一个Web服务器,它实现了WSGI协议.uwsgi.http等协议. WSGI / uwsgi / uWSGI 三者区别: WSGI是一种通信协议,Flask,webpy,Django.CherryPy等等都自带WSGI,不过性能都不好. uwsgi同WSGI一样是一种通信协议. uWSGI是实现了uwsgi和WSGI两种协议的Web服务器. 自己配置 uwsgi.ini # mysite_uwsgi.ini file [uwsgi] # Djan…

一.http的缺点 之前有介绍过http协议相关的一些知识,http是相当优秀和方便的,但它也有缺点,主要不足表现在如下几个方面: △ 通信使用明文(不加密),内容可能会被窃听 △ 不验证通信方的身份,因此可能遭遇伪装 △ 无法证明报文的完整性,所以有可能已被篡改 其他未加密的协议也存在这类问题 △ 某些特定web服务器和特定web浏览器存在安全漏洞 1.通信使用明文可能被窃听 http本身不具有加密功能,无法做到对通信整体(使用http协议通信的请求和响应内容)进行加密,即:http报文使用明…

本文由阿德马翻译自国外网站,请尊重劳动成果,转载注明出处 Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理–Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包. 2.Spider(蜘蛛)–Burp Suite的蜘…

将于 2014 年 9 月 1 日停止Azure Shared Cache服务,因此你需要在该日期前迁移到 Azure Redis Cache.Azure Redis Cache包含以下两个层级的产品. 基本版 – 单节点,多规格. 标准版 – 主/从双节点,多规格.标准层产品将具有 99.9% 的 SLA. 具体文档参看 http://azure.microsoft.com/zh-cn/documentation/articles/cache-dotnet-how-to-use-azure-r…

原文:http://www.daemonology.net/papers/crypto1hr.pdf   [密码学简介]   很多人都误用了密码学   一般可归为三类: 1. 愚蠢 比如Google Keyczar(计时旁路 timing side channel),SSL(对话重建 session renegotiation) 2. 工具使用方法错误 亚马逊AWS signature method 1(non-collision-free signing),Flickr API signatu…

http://www.2cto.com/Article/201209/153312.html Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包. 2.Spid…

摘要:CTO线上讲堂5月20日正式登场,CTO俱乐部首期邀请到APICloud联合创始人兼CTO邹达与C粉之家微信群友一起聊聊如何快速玩转App开发,分享技术人的职场成长. 为了帮助IT从业者职业之路拥有更多收获,在诸多C粉的殷切期待下,CTO线上讲堂5月20日已正式登场,首期演讲嘉宾APICloud联合创始人兼CTO邹达与C粉之家微信群友一起聊聊如何快速玩转App开发,分享技术人的职场成长. 想与业界大咖零距离沟通,欢迎加入C粉之家微信群(加入方式.下期演讲内容请拖至文末查看详情). 主讲嘉宾…

PhishTank 是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志愿者提供,且更新频繁. 1.XSS 1.1. XSS简介 跨站脚本攻击,英文全称是Cross Site Script,本来缩写是CSS,但是为了和层叠样式表有所区分,所以在安全领域叫做"XSS". XSS攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击. 1.2. XSS分类 XSS根据效果的不同可以分成如下几类 第…

Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包. 2.Spider(蜘蛛)--Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动…

Burp Suite使用介绍(一)  22人收藏 收藏 2014/05/01 19:54 | 小乐天 | 工具收集 | 占个座先 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台.它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程.所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架.本文主要介绍它的以下特点: 1.Target(目标)——显示目标目录结构的的一个功能 2.Prox…

原文:http://msdn.microsoft.com/zh-cn/magazine/hh708755.aspx 一.跨站点脚本 简介 XSS 攻击是指将脚本恶意注入用户的浏览会话,这通常在用户不知情的情况下发生. 因为一些事故的发生,许多人已经非常熟悉这些类型的攻击,在这些事故中,某大型社交网站受到攻击,其用户发布了他们未授权的消息. 如果攻击者发布恶意脚本并且他可以让浏览器执行该脚本,则该脚本将在受害者会话的上下文中执行,这基本上使攻击者能够对 DOM 执行其所需的任何操作,包括显示伪造的…

1.日志传输可以分为 lgwr和ARCH,默认是arch,其中lgwr传输可以分为async和syncsync:同步服务,只有在事物参数的日志成功的传输到备库的目的地,事物才能提交.虽然同步服务没有限制主库和同步目的地的距离,但是主库同步数据到目的地的延时,增加了事物提交的时间         这种同步模式一般用在最大保护,最高可用async:异步服务,这种模式在事物提交时不会等待此事物产生的日志成功同步到备库,这种模式一般用在最大性能 2.redo传输的安全 redo传输使用的 oracle…

Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包. 2.Spider(蜘 蛛)--Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自…

创建基本的安全连接和非安全连接 Kenneth Ballard ( kenneth.ballard@ptk.org), 自由程序员 Kenneth 是 Peru State College(位于 Peru, Nebraska)计算机科学专业的大四学生.他还是学生报 The Peru State Times 的职业作者.他拥有 Southwestern Community College (位于 Creston, Iowa)计算机编程专业的理学副学士(Associate of Science)学位…