安全

背景 2015年下，某省运营商综合网络管理系统。 按照安全管理要求，需对全系统主机的OpenSSH版本升级。 第一次测试：系统自有服务器 主机：RedHat Linux ／SunOS：系统内全部主机升级，内部互通没有问题 第二次测试：主机到网络设备SSH互通性 国外厂商 思科（系统版本IOS 12.0系列，IOS 4.0系列），RedBack（系统版本SEOS-12系列，SEOS-6.0系列） 目前仅支持diffie-hellman-group1-sha1、ssh-dss两种算法。 当然不排除今年国产化运动影响，国外厂商维保过期等原因导致的售后升级服务滞后。 国内厂商 华为，无论是城域骨干网设备，还是IPRAN 各型号，甚至老式交换机都完全兼容。 中兴，只有较新的CTN9000-E V3.00.10系列能有限支持diffie-hellman-group1-sha1， 其它各型号在服务器OpenSSH7.0以上版本后都无法正常访问。 原因解析 ‍ 直 接原因：OpenSSH7.0安全特性升级 基于安全考虑，OpenSSH7.0将diffie-hellman-group1-sha1，ssh-dss等运行时状态默认变更为禁用。 * Support for the 1024-bit diffie-hellman-group1-sha1 key exchange is disabled by

无线路由器安全设置：WEP加密,还是WPA加密? 无线网络加密是通过对无线电波里的数据加密提供安全性,主要用于无线局域网中链路层信息数据的保密?现在大多数的无线设备具有WEP加密和WAP加密功能,那么我们使用WEP加密,还是WAP加密呢?显然WEP出现得比WAP早,WAP比WEP安全性更好一些。 WEP采用对称加密机制,数据的加密和解密采用相同的密钥和加密算法?启用加密后,两个无线网络设备要进行通信,必须均配置为使用加密,具有相同的密钥和算法?WEP支持64位和128位加密,对于64位加密,密钥为10个十六进制字符(0-9和A-F)或5个ASCII字符;对于128位加密,密钥为26个十六进制字符或13个ASCII字符。 无线路由器安全设置：如何让WEP更安全 (1)使用多组WEP密钥,使用一组固定WEP密钥,将会非常不安全,使用多组WEP密钥会提高安全性,但是请注意WEP密钥是保存在Flash中,所以某些黑客取得您的网络上的任何一个设备,就可以进入您的网络; (2)如果你使用的是旧型的无线路由器,且只支持WEP,你可以使用128位的WEPKey,这样会让你的无线网络更安全 (3)定期更换你的WEP密钥 (4)你可以去制造商的网站下载一个固件升级,升级后就能添加WPA支持 WPA(Wi-Fi保护接入)能够解决WEP所不能解决的安全问题?简单来说

2017 年， Equifax 宣布黑客窃取了其 1.45 亿条客户记录。黑客利用了 Equifax 的 Web 应用程序托管平台的一个已知安全漏洞。 2015 年，英国电信公司 TalkTalk 有 157000 条客户记录遭窃，一群十几岁的黑客通过精心编排的 Web 应用程序 SQL 注入攻击盗取了这些记录。 2008 年， Heartland Payment Systems 有 1.34 亿条信用卡详细信息遭黑客窃取，黑客同样也是通过 SQL 注入攻击利用了 Web 应用程序漏洞。 当今，Web 应用程序处于云计算革命的最前沿，并且正稳步取代基于操作系统的传统桌面应用程序。在工作和个人生活中为人们提供越来越多的不可或缺的功能。由于 Web 应用程序日益复杂，代码开发也变得空前复杂，由于编码缺陷而导致出现安全漏洞的风险也就越大。 低估 Web 应用程序安全性的重要意义，无异于一枚滴答作响的网络定时炸弹。单个 Web 应用程序漏洞就可能导致大规模的数据泄露，甚至可能会动摇最大型企业的根基，导致全球范围内铺天盖地的媒体负面报道、巨额的财务处罚和公众信任的丧失。 通过采用行业最佳应用程序开发实践（例如 OWASP Top 10 ），并使用 Web 应用程序漏洞扫描工具，为 Web 应用程序安全性保驾护航，是必不可少的软件开发实践！ 即刻点击“ 阅读原文 ”详细了解最新的 Top 10

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 渗透测试是正义黑客大展身手的地方。他们可以对漏洞评估中识别出的许多漏洞进行测试，以量化该漏洞带来的实际威胁和风险。 当正义黑客执行渗透测试时，他们的最终目标是入侵一个系统，然后从一个系统入侵另一个系统，直到“占领”整个域或环境。所谓“占领”，是指他们在最关键的Unix或Linux 系统上拥有root 权限，或者取得了可以访问和控制网络上的全部资源的管理员账户。这么做的目的是为了向客户(公司)展示在网络的当前环境和安全配置下，真正的攻击者可以采取哪些行动。 很多时候，正义黑客在按照自己的工作过程获得对网络的控制的同时，还会收获一些战利品。这些战利品包括CEO 的密码、公司的商业机密文件、所有边界路由器的管理员密码、CFO 和CIO 的笔记本电脑中标记为“机密”的文档等。沿路收集这些战利品的目的是为了使决策者理解漏洞的危害并引起重视。否则，就算花费几个小时向CEO、CIO或COO 解释有关服务、开放端口、不当配置和可能被攻击之处，他们也不能很形象地理解安全问题并引起足够的重视。但是一旦向CFO 展示其下一年度的规划，向CIO 展示其下一年的生产线蓝图，或者说出CEO 的密码“IAmWearingPanties”，他们自然而然就会想更多地了解防火墙和其他应该就位的防护措施的重要性了。 警告

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> #注入攻击 OWASP将注入攻击和跨站脚本攻击（XSS）列入网络应用程序十大常见安全风险。实际上，它们会一起出现，因为 XSS 攻击依赖于注入攻击的成功。虽然这是最明显的组合关系，但是注入攻击带来的不仅仅是 XSS。 注入攻击代指一类攻击，它们通过注入数据到一个网络应用程序以期获得执行，亦或是通过非预期的一个方式来执行恶意数据。这种类别的攻击包括跨站脚本攻击（XSS）、SQL 注入攻击、头部注入攻击、日志注入攻击和全路径暴露。当然限于篇幅，这里只是一个简单的介绍。 这类攻击是每个程序员的梦魇。它们数量庞大、攻击范围广，并且有时候防御措施很复杂，因此是最常见、成功率最高的网络攻击。所有的应用程序都需要从某个地方获取数据来运行。跨站脚本攻击和界面伪装漏洞最为常见，并且它们本身就已经非常重要，通常与注入攻击分开归类。接下来的一章我将单独介绍它们。 OWASP 对注入攻击的定义如下： 类似SQL、OS、LDAP注入攻击等注入攻击会在不可信数据作为命令或请求的一部分被发送到解释程序时发生。攻击者的恶意数据会迷惑解释程序去执行非计划的命令，或访问非授权的数据。 ##SQL 注入攻击 目前最常见的注入攻击形式是臭名昭著的 SQL 注入攻击。SQL 注入攻击不仅常见，而且致命。我要特别强调，了解这种攻击

Android系统的权限从用户的角度来看有时候的确有点让人摸不着头脑。有时候可能你只需要做一些简单的事情（对联系人的信息进行编辑），却申请了远超你应用所需的权限（比如访问所有联系人信息的权限）。 这很难不让用户对你保存戒备。如果你的应用还是闭源的那用户也没办法验证是否 你的应用正在把他的联系人信息上传到应用服务器上面去 。即使你向用户解释你为什么申请这个权限，他们最后也可能不会相信你。所以我在过去开发Android应用的时候避免去用一些奇技淫巧，因为这会额外去申请权限，用户也会对你不信任。 经过一段时间实践后，我有这样一个体会：你在完成某些操作的时候并不一定需要申请权限的。 比如Android系统中有这样一个权限： android.permission.CALL_PHONE . 你需要这个权限来让你从你的应用中调用拨号器，对吗？下面的代码就是你如果拨打电话的，对吧？ <span style="font-size:14px;">Intent intent = new Intent(Intent.ACTION_CALL); intent.setData(Uri.parse("1234567890")) startActivity(intent);</span> 错！这个权限可以让你的手机在没有用户操作的情况下打电话！也就是说如果我的应用用了这个权限

在这个世界上，一共有两种公司：一种被「黑」过，另一种，不知道自己被「黑」过。 在 安全 攻击频发的今天： 如何构建完善的安全防护壁垒？ 如何借助威胁情报改善安全态势？ 如何检测新形式下的漏洞？ 答案，就在 5 月 28 日 OneASP 安全公开课。 报名链接： http://www.oneapm.com/openclass/securityclass.html ##讲师介绍： ###刘宇 白帽汇 从事信息安全行业 7 年， 2009 年创立诺赛科技，负责穿山甲、竭思、亿思的销售与推广。 2011 年将产品全卖断给 360 后，创立白帽汇。 2002 年获得 MCSE ， MCDBA ， MCP 证书； 2004 年入职华为公司，带领实验室团队； 2009 年诺赛科技联合创始人； 2015 年白帽汇联合创始人。 ###韩志立 微步在线 10 多年安全产品管理经验， 6 年的战略规划经验。曾在安氏、华为、绿盟、奇虎 360 公司负责不同安全产品： IPS 、 WAF 、应用网关及 APT 类，包括绿盟的 NGTP 解决方案，以及 360 的天眼。对虚拟执行、大数据及可视化分析、威胁情报等新型安全技术有较丰富的实践经验。现今在国内首批专业的威胁情报公司微步在线负责产品工作。 ###孙政豪 OneASP 曾就职于华为技术有限公司，参与企业网安全全线产品的测试和售前工作，熟悉华为防火墙，

当访问服务器中受保护的资源时，容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护，它们是： BASIC (基本验证)：通过HTTP验证，需要提供base64编码文本的用户口令 DIGEST (摘要验证)：通过HTTP验证，需要提供摘要编码字符串的用户口令 FORM (表单验证)：在网页的表单上要求提供密码 CLIENT-CERT (客户端证书验证)：以客户端证书来确认用户的身份 基本验证 当web.xml文件中的auth-method元素设置为BASIC时，表明应用使用的是基本验证，每次浏览器请求受保护的Web应用资源时，Tomcat都会使用HTTP基本验证向浏览器索取用户名和密码（以页面弹窗的方式）。使用这种验证方法，所有的密码都会以base64编码的文本在网络上传输。 先看下项目结构（我用Maven管理的依赖）： 其中，protect/protect.jsp是被保护的，需要授权访问。 说明：本文提到的tomcat-users.xml，server.xml等文件，如果是在Eclipse中启动tomcat，则这些文件在Eclipse中的Servers工程下对应的tomcat下，如图： 而 本文提到的web.xml是指项目自己的web.xml，而非Servers项目下Tomcat中的web.xml 。 web.xml <security

公钥和私钥就是俗称的不对称加密方式，是从以前的对称加密（使用用户名与密码）方式的提高。用电子邮件的方式说明一下原理。 使用公钥与私钥的目的就是实现安全的电子邮件，必须实现如下目的： 1. 我发送给你的内容必须加密，在邮件的传输过程中不能被别人看到。 2. 必须保证是我发送的邮件，不是别人冒充我的。 要达到这样的目标必须发送邮件的两人都有公钥和私钥。 公钥，就是给大家用的，你可以通过电子邮件发布，可以通过网站让别人下载，公钥其实是用来加密/验章用的。私钥，就是自己的，必须非常小心保存，最好加上 密码，私钥是用来解密/签章，首先就Key的所有权来说，私钥只有个人拥有。公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能 用公钥解密。 比如说，我要给你发送一个加密的邮件。首先，我必须拥有你的公钥，你也必须拥有我的公钥。 首先，我用你的公钥给这个邮件加密，这样就保证这个邮件不被别人看到，而且保证这个邮件在传送过程中没有被修改。你收到邮件后，用你的私钥就可以解密，就能看到内容。 其次我用我的私钥给这个邮件加密，发送到你手里后，你可以用我的公钥解密。因为私钥只有我手里有，这样就保证了这个邮件是我发送的。 当A->B资料时，A会使用B的公钥加密，这样才能确保只有B能解开，否则普罗大众都能解开加密的讯息，就是去了资料的保密性。验证方面则是使用签 验章的机制，A传资料给大家时

一、加壳技术原理 所谓 apk 的加壳技术和 pc exe 的加壳原理一样，就是在程序的外面再包裹上另外一段代码，保护里面的代码不被非法修改或反编译，在程序运行的时候优先取得程序的控制权做一些我们自己想做的工作。 PC exe 的加壳原理如下： 二、 android apk 加壳实现 要想实现加壳需要解决的技术点如下： （ 1 ）怎么第一时间执行我们的加壳程序 ? 首先根据上面的原理我们在 apk 中要想优先取得程序的控制权作为 android apk 的开发人员都知道 Application 会被系统第一时间调用而我们的程序也会放在这里执行。 （ 2 ）怎么将我们的加壳程序和原有的 android apk 文件合并到一起 ? 我们知道 android apk 最终会打包生成 dex 文件，我们可以将我们的程序生成 dex 文件后，将我们要进行加壳的 apk 和我们 dex 文件合并成一个文件，然后修改 dex 文件头中的 checksum 、 signature 和 file_size 的信息，并且要附加加壳的 apk 的长度信息在 dex 文件中，以便我们进行解壳保证原来 apk 的正常运行。加完壳后整个文件的结构如下： （ 3 ）怎么将原来的 apk 正常的运行起来 ? 按照（ 2 ）中的合并方式在当我们的程序首先运行起来后，逆向读取 dex 文件获取原来的 apk 文件通过