来源:IT专家网
在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来困扰用户的老大难问题,本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。
我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来保护敏感数据,最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。
在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来困扰用户的老大难问题,本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。
我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来保护敏感数据,最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。
1、引言
近年来,信息技术的迅猛发展及以其为基础的电子商务的广泛应用,使各类文字、图片、影视等作品通过网络的传播范围空前扩大,为创作者和发行商带来了新机遇。但同时,人们也很容易对以数字形式存在的产品进行非法拷贝和分发,如何对数字化产品进行版权保护已成为信息时代版权保护的核心问题之一。数字水印技术和数字指纹技术是近几年发展起来的新型数字版权保护技术。比较而言,数字水印是向数字产品中嵌入版权拥有者的一些信息,当发生争议时能够有效确认出版权归属,对相同的作品嵌入的水印信息是相同的。而数字指纹是在原产品中嵌入与用户有关的信息,产品提供者(也称发行商)能够根据该信息对非法用户进行跟踪。嵌入的内容对不同购买者是不同的,数字指纹技术具有广泛的应用环境和广阔的应用前景。
近年来,信息技术的迅猛发展及以其为基础的电子商务的广泛应用,使各类文字、图片、影视等作品通过网络的传播范围空前扩大,为创作者和发行商带来了新机遇。但同时,人们也很容易对以数字形式存在的产品进行非法拷贝和分发,如何对数字化产品进行版权保护已成为信息时代版权保护的核心问题之一。数字水印技术和数字指纹技术是近几年发展起来的新型数字版权保护技术。比较而言,数字水印是向数字产品中嵌入版权拥有者的一些信息,当发生争议时能够有效确认出版权归属,对相同的作品嵌入的水印信息是相同的。而数字指纹是在原产品中嵌入与用户有关的信息,产品提供者(也称发行商)能够根据该信息对非法用户进行跟踪。嵌入的内容对不同购买者是不同的,数字指纹技术具有广泛的应用环境和广阔的应用前景。
作者:空虚浪子心
最近笔者在网上看到一个新文章《JSESSIONID Regeneration in Struts 2》,讲的是一段代码,在STRUTS 2框架中,防御Session Fixation攻击。笔者比较老土,看不懂英文,还好能看懂代码,发现这是一种平时开发中(至少自己是这样),从来没注意过的攻击。关于这种攻击,刺在自己博客上写了篇文章《关于Session Fixation》。我在邮件列表,和文章后面跟帖讨论了下,但是仍然感觉自己说的不是很清晰,毕竟没有实战,所以实践了一下自己的想法,重新写篇文章补充下。注:为了保证质量,本文假设读者对cookie和session基本概念和特性已经掌握。
最近笔者在网上看到一个新文章《JSESSIONID Regeneration in Struts 2》,讲的是一段代码,在STRUTS 2框架中,防御Session Fixation攻击。笔者比较老土,看不懂英文,还好能看懂代码,发现这是一种平时开发中(至少自己是这样),从来没注意过的攻击。关于这种攻击,刺在自己博客上写了篇文章《关于Session Fixation》。我在邮件列表,和文章后面跟帖讨论了下,但是仍然感觉自己说的不是很清晰,毕竟没有实战,所以实践了一下自己的想法,重新写篇文章补充下。注:为了保证质量,本文假设读者对cookie和session基本概念和特性已经掌握。
Author:poison/amxku
首先,根据版本的不同,TNS listener可能较易受到多种类型的缓冲区溢出攻击,这些攻击可以在不提供用户ID和口令的情况下被利用。例如:在oracle 9i中,当客户机请求某个过长的service_name时,很容易受到溢出攻击。当listener为日志构建错误消息之后,service_name的值会被复制到某于栈结构的缓冲区内,从而引起溢出—覆盖保存值将返回栈中的地址。这种做法可以使攻击者获得控制权。事实上,TNS listener曾经有过多次溢出和格式化字符串的漏洞。
首先,根据版本的不同,TNS listener可能较易受到多种类型的缓冲区溢出攻击,这些攻击可以在不提供用户ID和口令的情况下被利用。例如:在oracle 9i中,当客户机请求某个过长的service_name时,很容易受到溢出攻击。当listener为日志构建错误消息之后,service_name的值会被复制到某于栈结构的缓冲区内,从而引起溢出—覆盖保存值将返回栈中的地址。这种做法可以使攻击者获得控制权。事实上,TNS listener曾经有过多次溢出和格式化字符串的漏洞。
来源:信息安全世界
拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络安全最大的威胁之一,如何防御DDoS攻击是当前人们关注的热点。然而目前的防御机制几乎没有实现DDoS攻击的实时监测。阐述了一种基于径向基函数的神经网络的实时监测模型,能够实时监测出DDoS攻击,不用增加网络流量,而且可以监测出目前所存在的所有类型的DDoS攻击。
拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络安全最大的威胁之一,如何防御DDoS攻击是当前人们关注的热点。然而目前的防御机制几乎没有实现DDoS攻击的实时监测。阐述了一种基于径向基函数的神经网络的实时监测模型,能够实时监测出DDoS攻击,不用增加网络流量,而且可以监测出目前所存在的所有类型的DDoS攻击。
来源:linux8
随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案。
随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案。