Usb Key的安全漏洞

硬件安全
Usb Key的安全漏洞

1、只要数字证书和私钥存放在电脑介质中,或者可能被读入内存,那么都是不安全的。例如银行的硬盘版数字证书就是不安全的。因为其私钥和数字证书都有被木马程序盗用的可能。 2、USB Key的安全性在于私钥不能被导出,加密解密运算用Key内的CPU完成,需要PIN……

Struts2 历史版本的远程代码执行

一、S2-003 受影响版本:低于Struts 2.0.12 struts2会将http的每个参数名解析为ongl语句执行(可理解为java代码)。ongl表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制。 二……

OpenSSL CVE-2016-0800 和 CVE-2016-0703 漏洞修复细节拾趣

1. 引子 本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。 感谢Shawn的指点! hf! 2. 细节 360在内部信息安全实践历程中,“360信息安全部”逐步秉承最佳安全……

Jenkins之Java反序列化漏洞分析(CVE-2016-0792)

Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令。 XStream是一个流行的反序列化库,许多主流应用程序,如IRA、Confluence、Bamboo,和J……

OpenSSL又暴新漏洞,超过1100万https站点受影响

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。 影响超过1100万网站 我们将利用这一漏洞来进行攻击的行为称为“DROWN……

Weblogic密码破解

系统安全
Weblogic密码破解

一、首先下载weblogic,并安装 下载链接(官方下载—->下载不了注册用户) Oracle官网下载 安装webloic   (下一步下一步就可以) 注:我安装的是weblogic12c  对应的jdk版本是”1.7.0_13″  (12c建议java版本1.7的)   二、 破解……

数据库的安全威胁与漏洞分析

传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发,数据库在近期泄露事件中成为了主角。   这与我们在传统……

设计安全的账号系统

著名的安全事件 首先来看看最近几年比较著名的拖库撞库后密码泄露的事件: 2011年12月,国内最大的程序员社区 CSDN 遭拖库,600万个账户信息泄露。 2014年3月,携程旅行网的系统存技术漏洞,漏洞可能导致用户的姓名、身份证号码、银行卡类别、银行卡卡号、……

PHP常见漏洞与代码防御

1. Cross  Site  Scripting  (XSS) 跨站脚本( XSS )属于 WEB 程序中的一类计算机安全漏洞,它允许在用户浏览的网页中注入恶意代码,比如 HTML 代码和客户端脚本。这类漏洞可被用于构造钓鱼攻击和浏览器攻击。 攻击: 攻击者在其请求中注入 HTML 代码。 /……

HTTP六种请求方法__详解

标准Http协议支持六种请求方法: 0,GET 1,HEAD 2,PUT 3,DELETE 4,POST 5,OPTIONS 但 其实我们大部分情况下只用到了GET和POST。如果想设计一个符合RESTful规范的web应用程序,则这六种方法都会用到。不过即使暂时不想涉及 REST,了解这六种方法的本质……

Top