王浩的技术博客

原文：http://security.ctocio.com.cn/tips/92/8064592.shtml        当前的木马、病毒似乎比较钟情于“映像劫持”，通过其达到欺骗系统和杀毒软件，进而绝杀安全软件接管系统。笔者最近就遇到很多这种类型的木马病毒，下面把自己有关映像劫持的学习心得写下来与大家交流。　　一、原理　　所谓的映像劫持(IFEO)就是Image File Execut

缓冲区溢出指的是应用程序将数据写到一个较小缓冲区中所导致的程序漏洞。缓冲区溢出漏洞通常被攻击者用于重写内存中的数据。由于象C和C++语言，程序员可对内存进行操纵就会导致缓冲区溢出风险。在C和C++程序中发现的很多早期缓冲区溢出漏洞，都是由字符串操作引起的。比如使用strcpy()和strcat()这样的函数。针对这种情况，引入了这些函数的有边界限制的等价函数，如strncpy()和strnca

在Web应用中对HTTP请求的所有方面都必须进行验证，包含Web的输入和输出。开发人员应当保证不能允许攻击者利用你的应用程序发送攻击。跨站点执行脚本漏洞（XSS）是目前报道最为广泛的一种安全漏洞攻击，它允许攻击者将恶意脚本代码注入到网页上，当其他用户在浏览网页时，执行恶意脚本窃取重要的资源。跨站点执行脚本攻击是将一个恶意内容注入到一个合法内容中。它可能直接来自攻击者，以一种特殊的URL形式发送

在几乎所有安全的程序中，你的第一道防线就是检查你所接收到的每一条数据。如果你能不让恶意的数据进入你的程序，或者至少不在程序中处理它，你的程序在面对攻击时将更加健壮。在不得不接收输入，但是又不能相信输入的时候，最好的方法就是充分检测输入，并且确认输入的正确性，应当将输入限制在某些可接受的值范围内。 输入验证程序可分为2个主要部分：语法检查和语义检查。语法检查主要检测输入的格式是否正确，其

一般情况下，程序员没有充分考虑错误条件和异常情况，而是更多地考虑那些期望的情况，这种忽略使得攻击者可以遵循一条错误和异常发生路径来实现攻击。不完善的错误处理机制通常会导致资源泄露。异常包括已检测的异常和未检测的异常。假如一个方法声明抛出一个已检测的异常，所有调用它的方法就必须处理这个异常或者声明同样也抛出这个异常。这就迫使程序员考虑所有可能会发生已检测异常的地方。未检测异常可以不必声明和处理。

目前几乎在任何系统中都会有权限管理。权限管理一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。一般在权限控制中包含3个方面：主体，是一个主动地实体，它可以提出对一些资源或者数据的访问请求，主体可以是能够访问信息的用户或进程。客体，是含有被访问信息的被动实体，客体可以是计算机、数据库、文件、目录等。安全规则，是一套规定主体是否可以访问客体的规则。访问

在普通的页面提交时，如果没有使用SSL，提交的数据将使用纯文本的方式发送。如果使用抓包工具可以轻易地截获一些关键数据。jCryption是一个jQuery插件，能够加密由Forms提交的POST/GET数据。官网地址：http://www.jcryption.org/未加密处理的效果如下：可很容易地看到登录时的用户名和口令。使用jCryption后效果如下，

REST（Representational State Transfer）服务最初是作为一种极其简化的Web服务方法开始的。我们可以在纯文本文件中描述REST服务，并使用我们想要的任何消息格式，例如JSON，XML等。如果通过构建可以读取，写入和删除用户数据的API调用，使得API成为产品的强大扩展，几乎肯定是需要身份验证的。下面我们将介绍三种流行的身份验证方法：API密钥，OAuth访问令牌...

在服务及其消费者无处不在的时代，企业系统和数据的安全风险正在爆炸式增长。来自云服务提供商的安全产品很有前景，但在本质上仍然是传统的方式，有时也是安全攻击的目标。虽然企业期望应用程序，基础架构和关键数据从防火墙后面转移到云中运行，但系统架构师和设计人员发现自己在定制化安全开发和云提供商的产品之间徘徊。虽然有许多企业的防火墙和VPN设备可用于数据中心或云环境，但重要的是包括访问控制，身份验证和...

1.概述在本文中，我们将探索Hashicorp的Vault —— 一种用于在现代应用程序体系结构中安全地管理机密信息的流行工具。我们将讨论的主要议题包括：Vault试图解决什么问题Vault的架构和主要概念设置一个简单的测试环境使用命令行工具与Vault交互2.机密信息问题在深入了解Vault之前，让我们试着了解它试图解决的问题：机密信息管理。大多数应用程序需要访问机密数据才...

OpenSWAN可以在linux环境下搭建IPSecVPN。我自己动手在CentOS系统下安装OpenSWAN，现将过程记录下来。软件VMware-workstation-7.1CentOS-6.3-i386-bin-DVD1.isoopenswan-2.6.38.tar.gz在虚拟机中先将CentOS装好，这里就不详细说明了。这里需要注意的是需要将机器连到

Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Sty

1、概述       目前越来越多的系统通过Web服务、门户和集成化应用程序彼此链接，为解决信息孤岛的问题单点登录的需求越来越紧迫。当前比较普遍的方式是采取集中式身份管理，这样做的好处是简化用户管理，把对访问控制的管理从本地的多个应用系统转移到管理中心，用户数据可以通过Web服务非常方便的访问。       这样做存在一个问题就是各系统失去了对用户数据的所有权，特别是在企业间应用的单点访问

  Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 企业需要有效地控制其资源，比如：资产、数

  Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /*

Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Font

Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <!-- /* Sty

 大安全这一概念来源于应用安全领域中两次商业交易：惠普收购网络安全评估商SPI Dynamics；IBM收购安全审核软件厂商Watchfire。这种概念的含义是指安全服务提供商与应用服务提供商相合并，为用户一整套的应用安全体系。这种安全体系区别于传统意义上大的安全服务提供商，如赛门铁克，McAfee和思科等。不论是在安全领域还是其他的技术领域，当

在联合身份认证中有两大标准：OASIS组织的SAML和微软支持的WS-Federation。二者主要的区别在于SAML直接使用XML加密和XML签名，这意味着它可以和REST协同工作，而WS-Federation则需要SOAP。下面是对两种标准的比较，列出了它们之间的区别。 Below is a table where I compare both specs on various f

原文 http://apps.hi.baidu.com/share/detail/50011933随着LDAP的发展和趋于成熟，基于LDAP的应用也越来越广泛，这些应用往往都离不开身份验证。这里就来说一下基于LDAP的目录服务进行验证。  和利用数据库进行验证类似，LDAP中也是利用登陆名和密码进行验证，LDAP中会定义一个属性password，用来存放用户密码，而登陆名使用较多的都是ma

JOSE是一个框架，旨在提供一种在各方之间安全地转移声明（如授权信息）的方法。JOSE框架提供了一系列规范来实现此目的。它是由一组规范构成:JSON Web Token (JWT)：JSON Web令牌（RFC7519），定义了一种可以签名或加密的标准格式；JSON Web Signature (JWS)：JSON Web签名（RFC7515） ， 定义对JWT进行数字签名的过程；JSON...