保存密码不能用明文保存,用MD5或者sha1哈希化是安全,但是随着硬件的发展,可能会暴力破解,目前能够对抗暴力破解的哈希算法是 bcrypt,Yii提供了两个帮助函数使用crypt进行安全的哈希加密 1. generatePasswordHash($passowrd) 第一个用户注册时候,输入密码,在保存的时候,将密码加密 $hash = Yii::$app->getSecruity()->generatePasswordHash($password) 2. validatePasword($…

security3.x <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3…

参加过几次 OpenStack meetup 活动,听过这几家公司的Architect 讲他们公司的 OpenStack产品.本文试着凭借影响加网络搜索,按照自己的理解,对这些公司的 OpenStack 产品和使用做个大概的比较.一家之言而已. 1. 京东的 OpenStack 云 京东在其多个数据中心中是用 OpenStack 部署其私有云. 特点如下: 1.部署在多个数据中心,物理服务器在几千台以上规模. 2. 支持虚机.Bare metal 和容器,而且将来存量以虚机为主,增量以容器为主.…

 命名空间是一个域,这在个域中所有的类型名字必须是唯一的,不同的类型分组归入到层次化的命名空间, 命名空间的好处是:1.避免名字冲突,2.便于查找类型名字. 如:System.secruity.Cryptogtaphy. 下面介绍namespace 关键字的使用. namespace test { class class0 { int i; public class0() { } }} using关键字使用 ,访问一个命名空间的内容可以通过完全限定名.如:test.class0来访问.但是每次这…

我所了解的 IBM.京东.携程.eBay 的 OpenStack 云 参加过几次 OpenStack meetup 活动,听过这几家公司的Architect 讲他们公司的 OpenStack产品.本文试着凭借影响加网络搜索,按照自己的理解,对这些公司的 OpenStack 产品和使用做个大概的比较.一家之言而已. 1.IBM 的 OpenStack 云 IBM 现在把 Cloud 做为公司几大战略之一,其中 IAAS 是 OpenStack + Soft Layer,所以 OpenStack 处…

spring security 3比较庞大,但功能很强,下面小结下spring security 3中值得 注意的10个典型用法 1)多个authentication-provide可以同时使用 <authentication-manager alias='authenticationManager'> <authentication-provider> <user-service> <user authorities='ROLE_GUEST' name='gue…

特别感谢lhacker分享的文章,对我帮助很大 http://www.aiuxian.com/article/p-1913280.html 基本的知识就不在这里讲了,在实战中体会shiro的整体设计理念 首先,大体的了解了一下shiro,发现shiro自带的所有功能并不能满足真正的开发需求,决定自定义部分功能. 在自定义之前,先把web.xml配置好 <!-- shiro配置文件 --> <context-param> <param-name>contextConfig…

Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation based on the JWT, JWS, JWE, JWK and JWA RFC specificat…

0x01 Linux 1. 预加载型动态链接库后门 inux操作系统的动态链接库在加载过程中,动态链接器会先读取LD_PRELOAD环境变量和默认配置文件/etc/ld.so.preload,并将读取到的动态链接库文件进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,因为它们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入.这…

1.注册表提取 提取文件,Windows Server 2003或者Win XP 及以前需要提升到system权限,以后只要Administrator权限即可. reg save hklm\sam sam.hive reg save hklm\system system.hive reg save hklm\security secruity.hive 本地获取 #如果要提取明文,请修改注册表 reg add HKLM\SYSTEM\CurrentControlSet\Control\Secur…

之前为大家介绍了一款jquery和css3实现的很酷的菜单导航.这是一款由jquery开发的导航菜单.适合放在门户网站的个人用户中心后台.效果和美观都非常不错.我们先一起看看效果图: 在线预览   源码下载 一起看下实现的代码: html代码: <nav class="animated bounceInDown"> <ul> <li><a href="#profile"> <div class="fa…

1>监控概述   通常运维人员在一个企业当中所需要管理一台或者多台服务器,或者甚至更多,特别是BAT公司或者门户级别的公司,一个人管理的服务器可能上百甚至上千台                           而在这些管理的过程当中,作为运维人员我们需要知道我所管理的每一个服务器所运行的详细状态,其中包括,物理资源的消耗状态(CPU 内存 硬盘 IO 等等)以及网                          络带宽和每一个服务器上所运行的每一个服务所在某一个时段当中的某一个时刻所有运行…

目的:在某些业务场景中,我们需要某个类的实例对象的只能有一个,因此我们需要创建一些单例对象. 本文共有6种写法,仅供参考 1.饿汉式 优点: 在多线程情况下,该方法创建的单例是线程安全的(立即加载) 缺点: 由于instance 是由静态修饰的,所以在加载类之前就会将instance 加载到方法区中,如果长时间不用,这样会长时间占用内存. public class SingletonObject1 { private static final SingletonObject1 instance…

SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件.网络端口等). 强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力.所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复. 举例来说,系统上的 Apache 被发现存在一个漏洞,使得某远程用户可以访问系统上…

1.一次安装失败引发的思考 笔者安装双系统(Windows 7+ Ubuntu 16.01)时参考了如何安装win10和linux [ubuntu14]双系统这篇百度经验,却发现安装后并没有如期进入Ubuntu的欢迎界面,根据问题排查发现应该是启动引导器的问题,于是对安装步骤进行了逐步检查,发现了一些误区. 2.安装步骤介绍 1.windows系统下,计算机右键管理--磁盘管理,可以查看目前的磁盘使用情况:根据自己的喜好和需求 分配给linux系统空间:具体做法为:右击某个新加卷--压缩卷--压…

今天来简单介绍一下Spring Security安全框架 简介 Spring Security 提供了基于javaEE的企业应有个你软件全面的安全服务.这里特别强调支持使用SPring框架构件的项目,Spring框架是企业软件开发javaEE方案的领导者.如果你还没有使用Spring来开发企业应用程序,我们热忱的鼓励你仔细的看一看.熟悉Spring特别是一来注入原理两帮助你更快更方便的使用Spring Security. 人们使用Spring Secruity的原因有很多,单大部分都发现了jav…

0x01 Weblogic简介 1.1 叙述 Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发.集成.部署和管理大型分布式Web应用.网络应用和 数据库应用的Java应用服务器. Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发.集成.部署和管理之中,是商业市场上主要的Java(Java EE)应用服务器软件之一,也是世界上第一个成功商…

复现方式 Docker复现 WEBlogic爆出了很多漏洞 先了解一下现在主流的版本 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.1 Weblogic 12.2.1.2 Weblogic 12.2.1.3 ………… 历史漏洞 #控制台路径泄露 Weakpassword #SSRF: CVE-- #JAVA反序列化: CVE-- CVE-- CVE-- CVE-- CVE-- CVE-- #任意文件上传 CVE-- #XMLDecoder…

本次介绍是AC+fitAP组网方式的重要步骤. 一.基础配置 1.规划好ac+ap的组网方式和转发方式.(本次以三层旁挂直接转发),规划管理vlan,业务vlan,与AC连接的vlan,以及他们接口的地址.本次举例规划如下: 管理vlan : vlan 10  地址: 192.168.10.1  核心vlan-if接口上 业务vlan:  vlan 100   地址 192.168.100.1  核心vlan-if接口上 核心交换机与AC连接的vlan : vlan 200   地址为 192.…

0X01 试探一下 这是登录成功的页面 这里题目高速我们是基于cookie的注入 0X01抓包试探 这里登陆的时候有两个包 我们要含有cookie的那个包 0X02试探判断是否cookie存在注入 Cookie: uname=admin' 报错 那么应该是基于'的cookie注入 我们现在找到了 是cookie的注入 并且是’闭合 那么我们如何进行注入呐? 怎么知道原来的语句呐?这里有一点点思路了 构造后面一个数据一个数据的加 加在,后面 Cookie: uname=admin',1)#Cook…

spring security四种实现方式 spring(20) > 目录(?)[+] 最简单配置spring-securityxml实现1 实现UserDetailsService 实现动态过滤用户权限 实现AuthenticationProvider自定义参数验证 spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限.配置userDetailsService指定用户名.密码.对应权限,就可以实现. 2.实现UserDeta…

怎样使用yum-cron为CentOS自动更新重要的安全补丁 2017年4月19日 | 分类: [技术] 参考:https://linux.die.net/man/8/yum-cron参考:http://www.linuxprobe.com/centos-rhel-update.html参考:https://solarhell.com/post/2016/02/yum-cron [安装yum-cron] 1 yum install yum-cron -y [设置yum-cron] 打开 /etc…

文章转载自:https://www.xaheimi.com/jianzhan/117.html 什么是Content Secruity Policy(CSP) CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本.图片.iframe.fton.style等等可能的远程的资源).通过CSP协定,让WEB处于一个安全的运行环境中. CSP是2008…