技术改变世界 阅读塑造人生! - shaogx.com

This string was altered by TechBlog\Plugins\Example.; This is an example to show the potential of an offcanvas layout pattern in Bootstrap. Try some responsive-range viewport sizes to see it in action.

如何基于Web应用程序安全经验来开发云应用程序?

随着越来越多的企业寻找可部署在云供应商环境中的应用程序,对于健全的安全措施和技术的需求也变得至关重要。那么,如何在云环境中开发应用程序以最大限度地提高安全性呢?这些云应用程序是否有别于内部应用程序?在开发周期和质量保证(QA)过程中,需要有哪些变化?在把应用程序迁移到公共云环境之前,上述所有问题都需要解决。在本文中,我们将提供一些指导,如何专为云环境开发安全的应用程序,以抵御如今大部分常见攻击。我们还将探讨一些需要落实到位的控制因素,以确保基于云的应用程序在开发和部署时的安全性。如何安全地开发云应用程序... 全文

云应用程序 Web应用程序

提升WEB应用程序安全需要打“组合拳”

由于WEB应用程序对于当今许多企业的内部和外部操作都极端重要,所以其可用性和安全性既是客户的期望又是其要求。因而,企业应该在WEB应用程序问题上不惜一切代价。同时,WEB应用程序的重要性也给安全专家带来巨大压力,因为没有什么会比企业的关键网站或应用被攻击、破坏更恐怖了。不幸的是,在构建应用程序的竞赛中,许多企业给开发者施加压力,要求其重点关注应用程序的安全。本文将探讨如何在WEB应用程序的性能、可用性、安全性上达到平衡。安全策略... 全文

WEB应用程序 WEB应用安全 WEB服务器

Web应用程序安全必须重视八大问题

对于任何一个项目,开始阶段对于交付安全的应用来说非常关键。适当的安全要求会导致正确的安全设计。下面讨论在分析Web应用程序的安全要求时需要考虑的八大问题。1、认证和口令管理:这主要是一种一次性的活动而且仅仅是作为项目的一部分而完成的。有人可能会问一些与认证和口令管理有关的问题:◆口令策略:这个问题非常重要的原因在于避免与用户凭据有关的字典攻击。◆口令哈希算法:确保通过适当的加密算法来加密口令也非常重要。◆口令重置机制:为了避免黑客修改或截获口令,重置机制非常关键。... 全文

Web应用程序安全 Web应用安全

如何保证Web应用程序安全性?(1)

Web应用程序是当今多数企业应用的前沿阵地。Web应用程序在一个复杂的混合性架构中可以发挥多种不同的功能。其涉及范围极广,从在最新的云技术上运行的面向服务的方案,到较老的多层Web应用程序,再到准许客户访问大型主机上老应用程序的Web入口,都有其应用。... 全文

Web应用程序 Web应用安全

企业需慎用第三方Web应用程序

中小型企业使用了很多第三方web应用程序:因为第三方应用程序能够为他们节省开支,并且能够允许他们嵌入他们不可能有的专业技术。但是同时,这也为他们的业务和消费者带来安全隐患。... 全文

Web应用程序 Web安全

Web应用程序登录后的处理

    上次说了利用服务器进行登录的安全验证,在进行安全的服务器验证后,进入被保护的资源,例如welcome页面,现在的问题是,如果欢迎页面要求作一些数据操作,例如动态菜单等,可是我们登录提交的是j_security_check,这是系统自身完成的,应该如何完成这些工作呢?我采用的方法是将welcome-file指定为一个servlet,如下:<welcome-file-list>    <welcome-file>/indexservlet</welcome-file>  </welcome-file-list> IndexServlet如下:public class IndexServlet extends HttpServlet {    private static final String CONTENT_TYPE = "text/html; charset=UTF-8";    //Initialize global variables    public void init() throws ServletException {    }    //Process the HTTP Get request    public void doGet(HttpServletRequest request, HttpServletResponse response) throws            ServletException, IOException {        response.setContentType(CONTENT_TYPE);        if (request.getUserPrincipal() != null) {            String userid = request.getUserPrincipal().getName();             IndexOperImpl oper = new IndexOperImpl();            Class cls = oper.getClass();            InvocationHandler ds = new OperProxy(oper);            IndexOperInterface operi = (IndexOperInterface) Proxy.                                       newProxyInstance(cls.getClassLoader(),                    cls.getInterfaces(), ds);            UserQuery userquery = new UserQuery();            userquery.setUser_id(userid);            User user1 = operi.getUserInfo(userquery);            MenuItemList menulist = operi.getMenuItemList(user1);            WorkItemList worklist = operi.getWorkItemList(user1);            if (user1 != null) {                request.getSession().setAttribute("userid", user1.getUser_id());                request.getSession().setAttribute("username",                                                  user1.getUser_name());                request.getSession().setAttribute("department",                                                  user1.getUser_department());            }            if (menulist != null) {                request.getSession().setAttribute("menulistbean",                                                  menulist.getMenulist());            }            if (worklist != null) {                request.getSession().setAttribute("worklistbean",                                                  worklist.getWorkItemList());            }            response.sendRedirect(response.encodeRedirectURL("/index.jsp"));        }    }    //Process the HTTP Post request    public void doPost(HttpServletRequest request, HttpServletResponse response) throws            ServletException, IOException {        doGet(request, response);    }    //Clean up resources    public void destroy() {    }} 如上描述,request.getUserPrincipal().getName();方法获得登录后的用户编号,黄底色的是代理实现,这里的代理对象叫operi,使用getUserInfo(UserQuery userquery)方法从后台获取用户信息,getUserInfo是前后台接口方法UserQuery 是前后台数据传输的DTO.同样,workItemList和MenuItemList都是DTO,而getWorkItemList和getMenuItemList则是接口方法。将获得的数据存放在session里,最后,使用response.sendRedirect(response.encodeRedirectURL("/index.jsp"));将页面定位到index.jsp,response.encodeRedirectURL重写方法可以防止因客户禁用cookie而导致sessionid不能传输的问题。本文出自 “java探讨” 博客,转载请与作者联系!... 全文

登录 web Web应用程序 休闲 职场

关于web应用程序的安全验证

       通常对于一般的web应用程序,都是自己写验证,输入用户名和密码,然后到数据库去验证,然后返回。但是对于安全性要求较高的应用,自己写的安全验证则会出现许多没考虑到的地方,这时应该使用安全框架。        我使用的是struts框架,服务器是weblogic8.14,配置了基于FORM的验证方式,具体配置如下:        1、目录结构:根目录文件:index.jsp,login.html,error.jsp                                  admin目录:存放系统模块业务页面的路径                                  pages目录:存放公用页面的路径         2、login.html:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "[url]http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd[/url]"><html xmlns="[url]http://www.w3.org/1999/xhtml[/url]"><head><meta http-equiv="Content-Type" c /><style type="text/css">body{ margin:0; font-size:12px; height:100%;}#content { position:absolute; left:58%; top:42%; width:190px; height:104px; z-index:1;}.int{ width:120px; height:13px; border:#c0c0c0 1px solid;}.btn{padding-top:2px;}</style></head><body><div >  <table width="100%" border="0" cellspacing="0" cellpadding="0">    <form  method="post" action="j_security_check"> <tr>   <td height="25" colspan="2" align="right" valign="bottom">&nbsp;</td>   </tr> <tr>      <td width="60" height="35" align="right" valign="bottom">用户id:</td>      <td width="120" valign="bottom"><input type="text" name="j_username"  /></td>    </tr>    <tr>      <td width="60" height="25" align="right" valign="bottom">密码:</td>      <td valign="bottom"><input type="password" name="j_password" /></td>    </tr>    <tr>      <td colspan="2">&nbsp;</td>    </tr>    <tr>      <td height="30" colspan="2" align="right">        <input type="submit"  value="登录" />       <input type="reset" value="取消" /></td>    </tr>    </form>  </table></div><table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0">  <tr>    <td><table width="601" height="364" border="0" align="center" cellpadding="0" cellspacing="0" background="images/login.jpg">      <tr>        <td>&nbsp;</td>      </tr>    </table></td>  </tr></table></body></html>  需要注意的是这里的用户名,密码和提交页面必须固定为j_username,j_password,j_security_check见文件的反显部分。 3、error.jsp<%@ page c %><html><head><title>error</title></head><body bgcolor="#ffffff"><h1>Login error!</h1></body></html>4、在web.xml里配置要保护的资源<security-constraint>    <web-resource-collection>      <web-resource-name>admin</web-resource-name>      <url-pattern>/admin/*</url-pattern>      <http-method>PUT</http-method>      <http-method>GET</http-method>    </web-resource-collection>    <web-resource-collection>      <web-resource-name>pages</web-resource-name>      <url-pattern>/pages/*</url-pattern>      <http-method>PUT</http-method>      <http-method>GET</http-method>    </web-resource-collection>    <web-resource-collection>      <web-resource-name>indexservlet</web-resource-name>      <url-pattern>/indexservlet</url-pattern>      <http-method>PUT</http-method>      <http-method>GET</http-method>    </web-resource-collection>    <web-resource-collection>      <web-resource-name>index</web-resource-name>      <url-pattern>/index.jsp</url-pattern>      <http-method>PUT</http-method>      <http-method>GET</http-method>    </web-resource-collection>    <auth-constraint>      <role-name>mgr</role-name>    </auth-constraint>    <user-data-constraint>      <transport-guarantee>NONE</transport-guarantee>    </user-data-constraint>  </security-constraint>这里我配置了对admin目录、index.jsp、indexservlet的保护,只允许mgr角色可以访问,注意不要对error.jsp也保护了,否则会导致登陆失败时达不到错误页面。 5、配置角色:mgr是这样配置的:在web.xml里加入:<security-role>    <role-name>mgr</role-name>  </security-role> 在weblogic.xml里加入角色映射:<security-role-assignment>    <role-name>mgr</role-name>    <principal-name>admin</principal-name>      </security-role-assignment>该段表示将weblogic服务器里配置的admin用户映射为这里的mgr角色。 6、配置验证方式:在web.xml里加入<login-config>    <auth-method>FORM</auth-method>    <form-login-config>      <form-login-page>/login.html</form-login-page>      <form-error-page>/error.jsp</form-error-page>    </form-login-config>  </login-config> 现在,打包发布你的程序,输入任何保护的资源,在未验证的情况下就会跳转到登陆页面了,从而完成对资源的保护。本文出自 “java探讨” 博客,转载请与作者联系!... 全文

web WEB应用程序 休闲 安全验证 职场

Web应用常见的安全威胁

这些趋势带来的问题就是:Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。Web应用系统的安全风险达到了前所未有的高度。本文详细剖析了Web应用中的常见漏洞及攻击方式,全面分析Web应用系统的安全风险。... 全文

Web应用安全 Web应用程序

用户容易忽视的Web应用安全威胁

Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。Web应用系统的安全风险达到了前所未有的高度。本文详细剖析了Web应用中的常见漏洞及攻击方式,全面分析Web应用系统的安全风险。Web应用系统是由操作系统和Web应用程序组成的。许多程序员不知道如何开发安全的应用程序,他们没有经过安全编码的培训。他们的经验也许是开发独立应用程序或企业 Web应用程序,这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。Web应用的大多数安全问题都属于下面三种类型之一:◆服务器向公众提供了不应该提供的服务,导致存在安全隐患。◆服务器把本应私有的数据放到了公开访问的区域,导致敏感信息泄露。... 全文

Web应用安全 Web应用程序

浅析Servlet的Web应用程序

Java Servlet API的一个强大特性是其能够相对容易地处理表单数据。和传统CGI开发中四处寻找环境变量不同,你可以通过常规的调用Java方法使用Servlets来访问表单和查询字符串数据。让我们来看一下它是如何工作的。你可以在这里下载本文示例的代码。载入Servlet... 全文

Servlet的Web应用程序

如何构建安全的Web应用程序

多年以来,安全专家们都在警告人们Web应用程序的漏洞,而这些警告往往会变成现实。我们经常看到这样的报道:黑客成功地渗透进入了一个Web应用。黑客或网络罪犯们也在共享新发现的漏洞,分享他们的成功故事或者对下一个目标的研究。我们不可能保证企业网络绝对无法渗透,而且黑客们已经证明了这一点,那么,为保障这些关键的企业应用,编程者应该做点儿什么呢?... 全文

Web应用安全 Web应用 编程安全

Web应用程序中的rootkit

0×00 为什么我们会有这个想法... 全文

后门 漏洞 Web应用程序

移动Web在终端设备上应用程序标准

现状和改变

这篇文章是移动Web应用程序报告的第二版。之前的版本分别在2011年2月全文

移动Web 应用程序标准

Web服务器和应用程序服务器区别详解

通俗的讲,Web服务器传送(serves)页面使浏览器可以浏览,然而应用程序服务器提供的是客户端应用程序可以调用(call)的方法(methods)。确切一点,你可以说:Web服务器专门处理HTTP请求(request),但是应用程序服务器是通过很多协议来为应用程序提供(serves)商业逻辑(business logic)。下面让我们来细细道来:Web服务器(Web Server)Web服务器可以解析(handles)HTTP协议。当Web服务器接收到一个HTTP请求(request),会返回一个HTTP响应(response),例如送回一个HTML页面。为了处理一个请求(request),Web服务器可以响应(response)一个静态页面或图片,进行页面跳转(redirect),或者把动态响应(dynamic response)的产生委托(delegate)给一些其它的程序例如CGI脚本,JSP(JavaServer Pages)脚本,servlets,ASP(Active Server Pages)脚本,服务器端(server-side)JavaScript,或者一些其它的服务器端(server-side)技术。无论它们(译者注:脚本)的目的如何,这些服务器端(server-side)的程序通常产生一个HTML的响应(response)来让浏览器可以浏览。要知道,Web服务器的代理模型(delegation model)非常简单。当一个请求(request)被送到Web服务器里来时,它只单纯的把请求(request)传递给可以很好的处理请求(request)的程序(译者注:服务器端脚本)。Web服务器仅仅提供一个可以执行服务器端(server-side)程序和返回(程序所产生的)响应(response)的环境,而不会超出职能范围。服务器端(server-side)程序通常具有事务处理(transaction processing),数据库连接(database connectivity)和消息(messaging)等功能。虽然Web服务器不支持事务处理或数据库连接池,但它可以配置(employ)各种策略(strategies)来实现容错性(fault tolerance)和可扩展性(scalability),例如负载平衡(load balancing),缓冲(caching)。集群特征(clustering—features)经常被误认为仅仅是应用程序服务器专有的特征。应用程序服务器(The Application Server)根据我们的定义,作为应用程序服务器,它通过各种协议,可以包括HTTP,把商业逻辑暴露给(expose)客户端应用程序。Web服务器主要是处理向浏览器发送HTML以供浏览,而应用程序服务器提供访问商业逻辑的途径以供客户端应用程序使用。应用程序使用此商业逻辑就象你调用对象的一个方法(或过程语言中的一个函数)一样。应用程序服务器的客户端(包含有图形用户界面(GUI)的)可能会运行在一台PC、一个Web服务器或者甚至是其它的应用程序服务器上。在应用程序服务器与其客户端之间来回穿梭(traveling)的信息不仅仅局限于简单的显示标记。相反,这种信息就是程序逻辑(program logic)。 正是由于这种逻辑取得了(takes)数据和方法调用(calls)的形式而不是静态HTML,所以客户端才可以随心所欲的使用这种被暴露的商业逻辑。在大多数情形下,应用程序服务器是通过组件(component)的应用程序接口(API)把商业逻辑暴露(expose)(给客户端应用程序)的,例如基于J2EE(Java 2 Platform, Enterprise Edition)应用程序服务器的EJB(Enterprise JavaBean)组件模型。此外,应用程序服务器可以管理自己的资源,例如看大门的工作(gate-keeping duties)包括安全(security),事务处理(transaction processing),资源池(resource pooling), 和消息(messaging)。就象Web服务器一样,应用程序服务器配置了多种可扩展(scalability)和容错(fault tolerance)技术。... 全文

Web服务器 应用程序服务器 服务器

免费的高级Web应用程序安全测试工具

比起Appscan和webinspect以及WVS,还有国产的zwell开发的JSKY,SandCat这款工具可能稍微逊色了点,但是毕竟作为免费的工具比较少,下面就来介绍一下这个工具的功能界面如下: SandCat 这是一个了不起的工具来工作。SandCat有两个版本-自由与专业版。SandCat所具有功能:* 缓冲区溢出* Cookie Manipulation *Cookie 修改*命令执行* CRLF注入* Cross Frame Scripting *跨帧脚本* 跨站点脚本( XSS )* Default Account *默认帐户* 目录列表* 目录遍历* 文件包含* 敏感信息泄露* LDAP 注入* MX 注入... 全文

Web 应用程序 安全测试

Office2010之Office Web 应用程序

上周五下午突然开始咳嗽,晚上就发高烧…结果在医院度过了这个周末。真是病来如山倒,这两天不知道睡了醒醒了睡有多少次,还好终于有所好转。上周五下午突然开始咳嗽,晚上就发高烧…结果在医院度过了这个周末。真是病来如山倒,这两天不知道睡了醒醒了睡有多少次,还好终于有所好转。一 直以来很多人都对中医有所偏见,都说它是伪科学,但这次能这么快就好还真是亏了中医的理论。我又是退烧药又是输液的,但一直不见好转。今天在家里昏昏沉沉 的睡着时,正好听到电脑里放的一档中医方面的广播节目录音里说道一个案例,感冒时用很多方式都不能发汗(吃药和输液的一个目的也是为了能发汗把体内的寒气 排出),是因为这个人阳气内敛,缺乏将寒气排出的动力。而那个中医一反常态采用热药来攻,达到了发热出汗清除寒气的目的。我想,输液打针都不能出汗,可能 就是咱哥们也是阳气不足吧,按这种方式试试吧,死马当活马医了。于是找出电热毯睡在了上面,好热啊!一觉醒来,全身都湿透了,终于出了汗。昏昏沉沉的头脑 也清醒了,终于不再烧了!好了,扯了这么多,该进入正题了。一直说要写一篇关于Office2010的体验文章,就趁现在还有精力写了起来。这次要和大家分享的是Office2010新增的Office Web 应用程序功能。 Office Web 应用程序:免费联机存储、编辑和共享文档Microsoft Office Web 应用程序是 Word、Excel 和 PowerPoint 的免费联机套件,可使您从支持的 Internet 浏览器(Internet Explorer、Firefox 和 Safari)自由查看、创建和编辑文档。在实际上任何地方,Office Web 应用程序都可以使您按照需要的方式工作:1在 Windows Live SkyDrive 上存储文件并使用 Office Web 应用程序进行编辑,可使您在实际上任何地方工作。 Office Web 应用程序允许您轻松共享文档和与他人合作。 Office Web 应用程序也具有常见的 Office 界面,因此您可以通过 Web 轻松操作文档。此外,您还可以在计算机上快速、轻松地将文档直接从 Office 2010 保存到 Web。 必须安装 Office 2010 Beta,才能开始使用 Office Web 应用程序。这段文字是在Office2010的官网上摘抄的,下面就让我们来看看Office Web 应用程序的使用方法:1.我们先打开Word2010,创建一个文档: 2. 单击“文件”打开“共享”,会看到有好几个可使用的选项,如邮件发送、 保存到skydriver、 保存到sharepoint,发布为博客文章等内容。其中保存到skydriver、 保存到sharepoint为Office Web 应用程序的两种应用方式,咱们这里只谈保存到skydriver这种形式的Office Web 应用程序。点击保存到 skydriver,系统会自动登陆到你的msn帐号(因为我本机有登陆过msn且使用过msn的网上服务,我估计office2010会根据你注册下载 的msn邮箱来自动创建病登陆skydrive)。登陆后会自动显示我在skydriver上已有的文件夹,如下图:3、选择你要保存的文件夹,如上图中的“公共”文件夹,然后保存。由于我已经先测试过了,所以在“公共”文件夹中已经保存有一个叫“测试”的word文档。这里我们仍然保存为“测试”,所以覆盖一下就好。保存后系统会自动返回到共享页面,在这个页面上我们惦记转到skydriver。word2010自动打开一个web网页,开始访问你的skydriver。4、打开skydriver后可以看到自己所创建的所有文件夹:因为咱们把名为“测试”的word文档保存到了“公共”文件夹中,所以打开“公共”文件夹就可以看到文件了。我们选中“测试”文档。单击文档,会自动进入该文件的Office Web 应用程序页面。那么我们该怎么对该word文档进行编辑呢?很简单,我们单击菜单中的“在word中打开”,系统会自动弹出下图中的消息窗口。保存后打开该文档看看,怎么样?和咱们之前保存的文档是一样的吧。另外,在保存至skydriver时我们还可以保存为其他类型文档,而office2010已提供直接保存为pdf文档的功能,在之前的office2007是需要安装一个pdf插件才可以实现。我们选择保存为pdf格式时,单击“选项”菜单,会看到如下界面:单击保存,word2010开始向skydriver自动保存pdf文档。保存完毕后会看到在“公共”文件夹中出现“测试”pdf文档。单击“测试”pdf文档,skydriver并不支持pdf的在线浏览,我们保存到本地。OK,咱们打开该PDF文档,看到了吧~好了,Office2010之Office Web 应用程序就说到这里,大家可以在Word、Excel 和 PowerPoint中试用一下这个功能。这里做个广告:Office 2010 Beta 于 2009/11/19 开放公测,微软中国欢迎51CTO博友撰写与Office 2010七大亮点相关的博文,并提供了300份礼品给这些博友。如果您博文的阅读量位居前十,还可获得更丰厚的礼品!了解详情,请见"Office 2010 博文征集开始 - 抢先下载 抢先得奖" ... 全文

office2010 web应用程序 休闲 职场

惠普研究发现广泛存在的自定义Web应用程序漏洞

2011年公开报道的新的安全漏洞的数量下降了20%,但一项由惠普公司进行的关于自定义Web应用程序的分析显示,自定义Web应用程序容易产生各种常见的编码错误。... 全文

自定义Web应用程序漏洞

如何在交付周期中保Web应用程序安全性(2)

Web应用程序之整合性合成测试的好处软件测试的整合性的合成分析方法可以更大地提升效率。集成开发环境的特定插件在发现用户的编码错误时会向编码人员发出警告。静态分析,也称为“白盒”测试,在将不同的模块组装成最终的产品之前,开发人员和审计人员就对其使用此技术。静态分析在代码水平上提供了一种内部人员对应用程序的检查分析。静态分析对于发现语法错误和代码水平的缺陷是很有效的,但并不适于决定一个缺陷是否会导致可利用的漏洞。... 全文

Web应用程序 漏洞

1 2 3 4