安全

现在各种云应用的非常广，这也是今后的一个趋势。同时云安全也备受大家瞩目。前不久csdn等多家网站用户 信息被黑客获取。据悉，美国数据安全损失居全球之首 年损失960亿，这一系列无不刺激这我们的神经， 如今好像没有什么安全的方式，只有尽可能的减少漏洞和bug，才能降低因数据窃取或网络攻击带来的 损失。 在实现一种安全策略之前，首先要在理论上行的通，对系统的架构什么的必须设计的合理，然后就 要在实际操作时试着检测漏洞或bug，最好是试着攻击自己的网络，看能否达到一个抗攻击的标准。 现在存在的网络安全技术主要有： 1、防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络 进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。防火墙位置不固定， 不同地方有各自的用途。典型的防火墙建立在一个服务器／主机机器上，亦称“堡垒”，是一个多边协议路由器，这个堡垒有两个网络联接：一边与内部网相联，另一边与Internet相联。它的主要作用除了防止未经授权的来自或对Internet的访问外，还包括为安全管理提供详细的系统活动的记录。其缺点是无法防范来自防火墙以外的攻击，不能防止内部的威胁，也不能 完全防止病毒，以及无法防范数据驱动型攻击。 2、加密技术 加密技术分为两类：对称加密和非对称加密技术。对称加密技术中

不要将Java与JavaScript弄混了，Java的目标是“一次编译，到处调试”（呃，不对，是“到处运行”）。简单来说，就是Java程序可以直接在任何设备上运行。 Java语言是什么？ 不管我们是否意识到，实际上我们基本每天都在与Java打交道。在浏览网页时，可能会弹出一个提示，要求必须安装Java才能继续浏览。这种情况一般发生在使用flash或者是通过某种方式将flash组件集成到核心系统的站点。 Java并不是那种通常在新电脑上直接下载下来就能用的程序。我不能确定有没有操作系统将Java作为默认的可执行程序。虽然历史上Java在安全方面有过问题，但这也让Java变得更加成熟。现如今，早已有 安全加密保护技术 ，在安全方面可以为Java提供安全解决方案！ 从笔记本到数据中心、从游戏机到科学家的超级计算机、从手机到互联网，Java无处不在！ （1）97%的企业桌面运行Java （2） 美国89%的计算机运行着Java （3） 世界共有9百万Java开发者 （4） Java是开发者的首选 （5） 头号开发平台 （6） 三十亿部手机运行着Java （7） 所有的蓝光播放器中都含有Java （8） 有五十亿Java Cards在使用中 （9） 1.25亿的TV设备运行着Java （10） 5个最大的OEM商都安装Java ME 从上述的统计中可以看到

一般大家都是使用账号和密码远程SSH登录管理服务器。但SSH账号和密码很容易泄露，或者经常遭遇暴力破解。咨询过前同事赛赛，他们目前使用了谷歌身份验证器。查看了谷歌身份验证器的 github网址 和其它网上文档，重新整理归纳。 谷歌身份验证器生成的是动态验证码，默认30秒更新。修改配置，SSH登录必须在输入密码之前输入动态验证码。即使账号和密码泄露，验证码输入错误，仍然无法登录。苹果或者安卓手机端可以安装身份验证器App读取验证码。 1.禁用并关闭selinux sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config setenforce 0 2.安装依赖软件包 yum -y install gcc make pam-devel libpng-devel libtool wget git 3.添加阿里云epel源 RHEL 6/CentOS 6系统： wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo RHEL 7/CentOS 7系统： wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo 4

第二十章： 安全 Internet并不安全。 现如今，每天都会出现新的安全问题。 我们目睹过病毒飞速地蔓延，大量被控制的肉鸡作为武器来攻击其他人，与垃圾邮件的永无止境的军备竞赛，以及许许多多站点被黑的报告。 作为Web开发人员，我们有责任来对抗这些黑暗的力量。 每一个Web开发者都应该把安全看成是Web编程中的基础部分。 不幸的是，要实现安全是困难的。 Django试图减轻这种难度。 它被设计为自动帮你避免一些web开发新手（甚至是老手）经常会犯的错误。 尽管如此，需要弄清楚，Django如何保护我们，以及我们可以采取哪些重要的方法来使得我们的代码更加安全。 首先，一个重要的前提： 我们并不打算给出web安全的一个详尽的说明，因此我们也不会详细地解释每一个薄弱环节。 在这里，我们会给出Django所面临的安全问题的一个大概。 Web安全现状 如果你从这章中只学到了一件事情，那么它会是： 在任何条件下都不要相信浏览器端提交的数据。 你从不会知道HTTP连接的另一端会是谁。 可能是一个正常的用户，但是同样可能是一个寻找漏洞的邪恶的骇客。 从浏览器传过来的任何性质的数据，都需要近乎狂热地接受检查。 这包括用户数据（比如Web表单提交的内容）和带外数据（比如，HTTP头、cookies以及其他信息）。 要修改那些浏览器自动添加的元数据，是一件很容易的事。

【钛媒编辑综合】 来自 The Information 的一份报告显示，Google 正在强制 OEM 厂商在 Android 设备上预装更多 Google 自家的应用。今年早些时候，Google 就表达了想要减少系统碎片化的愿景。而这就需要迫使 OEM 厂商尽快推出搭载最新 Android 系统的新设备。简单来说， 要想接着用 Android，那就要在出厂时安装 Google 的各种移动服务。 　　尽管 Android 已经占据全世界 85% 的智能手机，但几乎每家厂商都在试图在 Android 之上再造一个自己的生态系统，去 Google 化几乎成为各家厂商秘而不宣的必经之路。据统计，在2011年，包括三星、LG、HTC、华为等开放手机联盟的成员安装的 Google 应用数量仅为9个，这些应用可以统一放在首屏的 Google 文件夹中，但是无法被删除。 　　而如今根据最新的协议显示，在未来三星、LG、HTC 以及华为等 OEM 厂商都需要在它们推出的新款 Android 设备上预装最多高达 20 款 Google 应用。与此同时，Google Search 还需要在首屏上变得更易访问，支持以“OK Google”唤醒设备激活搜索，另外，设备还不允许集成 Bing、Yahoo 等 Google 之外的搜索服务。 　　针对此消息

郑昀 创建于2014-01-12； 最后更新于2014-01-13. 找回密码功能是漏洞传统重灾区，下面列出两个经典错误点，请引以为戒吧Web开发工程师们！ Web安全： 一）以为用户不会抓包不会看源码不会分析表单参数，HTML文档和表单里想写啥就写啥 1）某手网： +手机App的忘记密码功能： 首先，通过抓包分析，发现密码重置接口可以Web访问；其次，填入手机号码提交， 服务器端的响应中居然包含 明文短信验证码 ，虽然是在JavaScript中的注释里； 补充案例：绝非个案。如第三方支付平台支付通也干过， http://www.wooyun.org/bugs/wooyun-2010-022378 ；走秀网干过， http://www.wooyun.org/bugs/wooyun-2012-05630 ； 2）PPS： +网页版忘记密码功能： 贴心地实现了“重新发送找回密码邮件”功能；但是，不幸地 在这个GET请求的URL里， 目标email参数是明文的 ；从而可以将任意用户的密码重置邮件发给指定邮箱； 3）新网互联： +网页版忘记密码功能： 页面虽然展示的是星号遮挡的邮箱地址，但 HTML文档构造的 表单参数里却使用 邮箱明文 ，最终导致土豆网域名被劫持； 4）搜狐： +网页版找回密码功能： 找回密码时要回答“密码提示问题”；但是工程师把 答案明文 写在 textarea

内存泄漏简介 java可以保证当没有引用指向对象的时候，对象会被垃圾回收器回收，与c语言自己申请的内存自己释放相比，java程序员轻松了很多，但是并不代表java程序员不用担心内存泄漏。当java程序发生内存泄漏的时候往往具有隐蔽性。因此要借助一些 专业的平台资源 去保证安全性，例如可以通过 加密实现 。 定义 引用百度百科的定义：“用动态存储分配函数动态开辟的空间，在使用完毕后未释放，结果导致一直占据该内存单元。直到程序结束”。 从程序猿的角度来看“内存泄漏”，其实就是一个对象的生命周期超出了程序员所预期的长度(就叫它“该死不死”吧！)，那么这个对象就泄漏了。 android开发中的内存泄漏 android应用程序本身系统分配的内存很少，一旦发生泄漏，程序很快就会变得非常卡顿，直至 OOM崩溃 。接下来将通过一个案例（只是为了分析内存泄漏而设计的玩具程序，切勿模仿）来介绍内存泄漏分析工具MAT，以及内存分析的技巧。 公欲善其事，先利其器 准备内存泄漏的分析工具，可以安装eclipse插件mat。如果eclise安装mat不成功，那可能是缺少必要的libs，如果嫌找库麻烦，可以只勾选第二项安装，不过会缺少某些功能，但是也够用了。 在线安装： http://download.eclipse.org/mat/1.4/update-site/ 下载安装： http://mirror

静态分析安全测试（SAST）是指不运行被测程序本身，仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性，那么采用静分析安全测试的方法有什么优缺点呢，且让小编给你说道说道。 许多公司都投资于 HP Fortify、IBM AppScan Source、 Checkmarx 或 Coverity 之类的静态分析安全测试（Static Analysis Security Testing，SAST）解决方案。如果使用得当，SAST 解决方案的确能大放异彩：相比于动态分析或运行时测试方案，它们能在开发阶段，而不是开发完成之后，探测出源码中的安全漏洞，从而大大降低修复安全问题的成本。它们还能找到许多动态分析工具通常无法找到的漏洞。而且，得益于其自动化的特性，SAST 工具能在成百上千款应用间实现伸缩，而这是仅靠人为分析方法无法企及的。 在对 SAST 解决方案投资之后，一些公司便放弃了在应用安全领域的进一步投资。这类公司的股东往往认为：静态分析方法覆盖了绝大多数软件安全漏洞，或是诸如 OWASP 前十的重要高风险漏洞，因此已经足够好了。这些公司往往不会在软件开发初期就考虑安全问题，而是止步于在应用部署到生产环境之前，获得一份来自扫描工具的“无瑕疵报告”。其实，这种心态非常危险，因为它无视了 SAST 技术的基本限制。 《用静态分析方法确保编程安全(Secure

1 Android 安全机制概述 Android 是一个权限分离的系统 。 这是利用 Linux 已有的权限管理机制，通过为每一个 Application 分配不同的 uid 和 gid ， 从而使得不同的 Application 之间的私有数据和访问（ native 以及 java 层通过这种 sandbox 机制，都可以）达到隔离的目的 。 与此 同时， Android 还 在此基础上进行扩展，提供了 permission 机制，它主要是用来对 Application 可以执行的某些具体操作进行权限细分和访问控制，同时提供了 per-URI permission 机制，用来提供对某些特定的数据块进行 ad-hoc 方式的访问。 1.1 uid 、 gid 、 gids Android 的权限分离的基础是建立在 Linux 已有的 uid 、 gid 、 gids 基础上的 。 UID 。 Android 在 安装一个应用程序，就会为 它 分配一个 uid （参考 PackageManagerService 中的 newUserLP 实现）。其中普通 A ndroid 应用程序的 uid 是从 10000 开始分配 （参见 Process.FIRST_APPLICATION_UID ）， 10000 以下是系统进程的 uid 。 GID 。对 于普通应用程序来说， gid 等于

互联网发展20多年，大家都习惯了在浏览器地址里输入HTTP格式的网址。但前两年，HTTPS逐渐取代HTTP，成为传输协议界的“新宠”。 ​ 早在2014年，由网际网路安全研究组织Internet Security Research Group(ISRG)负责营运的 “Let's Encrypt”项目就成立了，意在推动全球网站的全面HTTPS化；今年6月，苹果也要求所有IOS Apps在2016年底全部使用HTTPS；11月，Google还宣布，将在明年1月开始，对任何没有妥善加密的网站，竖起“不安全”的小红旗。 去年，淘宝、天猫也启动了规模巨大的数据“迁徙”，目标就是将百万计的页面从HTTP切换到HTTPS，实现互联网加密、可信访问。 更安全、更可信，是HTTP后面这个“S”最大的意义。HTTPS在HTTP的基础上加入了SSL/TLS协议，依靠SSL证书来验证服务器的身份，并为客户端和服务器端之间建立“SSL加密通道”，确保用户数据在传输过程中处于加密状态，同时防止服务器被钓鱼网站假冒。 ## HTTP为什么过时了？ 很多网民可能并不明白，为什么自己的访问行为和隐私数据会被人知道，为什么域名没输错，结果却跑到了一个钓鱼网站上?互联网世界暗流涌动，数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发。 而未来的互联网网络链路日趋复杂，加重了安全事件发生