OpenSSL

【一些新特性】 1.内存优化表 参考： https://www.cnblogs.com/gered/p/12925354.html 内存中 OLTP 是一种内存优化的数据库引擎，它集成到 SQL Server 引擎中。 内存中 OLTP 已针对 OLTP 进行优化。对于内存中 OLTP 支持的 Transact-SQL 外围应用存在很多限制。 2.Windows Azure 中的 SQL Server 数据文件 Windows Azure 中的 SQL Server 数据文件提供对作为 Windows Azure Blob 存储的 SQL Server 数据库文件的本机支持。 通过此功能，可以在本地或 Windows Azure 中虚拟机上运行的 SQL Server 中创建数据库，而将数据存储在 Windows Azure Blob 存储中的专用存储位置。 3.将 SQL Server 数据库托管在 Windows Azure 虚拟机中 使用将 SQL Server 数据库部署到 Windows Azure 虚拟机向导，可将数据库从 SQL Server 实例托管到 Windows Azure 虚拟机中。 4.备份和还原增强功能 SQL Server 2014 包含针对 SQL Server 备份和还原的以下增强功能： 1) SQL Server 备份到 URL 　　SQL

配置参数 ·参考号：由工行提供 ·授权码：由工行提供 ·秘钥算法：由工行提供，我的是RSA ·证书颁发类型：此处为工行CA ·密钥长度：因为工行告知为RSA1024，所以此处选的1024 ·证书主题：这个需要注意，证书主题为CN=在加上证书名称，例如证书名称是FangNC3.y.1102，则此处填写CN=FangNC3.y.1102 ·密钥口令：此处设置1个即可，但是要记住。 公网域名： 正式环境：directbank.icbc.com.cn 测试环境： 第一套：directbank.dccnet.com.cn 第二套：directbank127.dccnet.com.cn 第三套：directbank2.dccnet.com.cn 第四套：directbank3.dccnet.com.cn 附上银企直联大佬博客链接 https://me.csdn.net/fangrk 来源： oschina 链接： https://my.oschina.net/u/4290804/blog/4442309

试题总分：100分，时间：100分钟 100 分 NISP一级单选题（最新） (每小题，本题共50个小题，共100分，60分及格) 1 我国的（ ）主要规定了关于数据电文、电子签名与认证及相关的法律责任 A.《中华人民共和国宪法》；B.《中华人民共和国网络空间安全法》；C.《中华人民共和国电子签名法》；D.《商用密码管理条例》 正确答案是：C 你的答案是：C 此题得分：2 2 传输层用于控制数据流量，以确保通信顺利，该层次的常用协议包括（ ） A.IP；B.TCP；C.FTP；D.PPP 正确答案是：B 你的答案是：B 此题得分：2 3 人员管理是信息安全管理体系的重要组成部分，下列关于人员管理的描述中错误的是（ ） A.人员管理应该全面提升管理人员的业务素质、职业道德、思想素质等。；B.网络安全管理人员在通过法律意识的审查后，还需要进行适合的安全教育培训；C.安全教育培训对象包含网络管理人员、研发人员等，不包括用户、管理者；D.安全意识教育和安全技术教育都属于安全教育培训内容 正确答案是：C 你的答案是：C 此题得分：2 4 （ ） 作为接受服务的另一方，为客户提供本地服务 A.客户端；B.服务器端；C.中间人；D.以上都不正确 正确答案是：A 你的答案是：A 此题得分：2 5 2017年WannaCry在全球范围大爆发，感染了大量的计算机，WannaCry属于（ ）病毒 A

首先呢就是需求： 1、账号、密码进行第一次登录，获得token，之后的每次请求都在请求头里加上这个token就不用带账号、密码或是session了。 2、用户有两种类型，具体表现在数据库中存用户信息时是分开两张表进行存储的。 为什么会分开存两张表呢，这个设计的时候是先设计的表结构，有分开的必要所以就分开存了，也没有想过之后Security 这块需要进行一些修改，但是分开存就分开存吧，Security 这块也不是很复杂。 maven就是这两： < dependency > < groupId > org.springframework.boot </ groupId > < artifactId > spring-boot-starter-security </ artifactId > </ dependency > < dependency > < groupId > io.jsonwebtoken </ groupId > < artifactId > jjwt </ artifactId > < version > 0.9.0 </ version > </ dependency > 然后直接说代码吧，首先呢是实现dao层，这一层就不贴代码了，反正就是能根据用户名能返回用户信息就好了。 所以其实第一步是实现自己的安全模型： 这一步是实现UserDetails这个接口

在未安装SSL证书时，用户和服务器之间的信息传输是明文的，容易被外界截取；而且对最终用户来讲，他们在浏览服务器时，并不知道这个服务器、网页是否真的存在，如果存在，信息是否真实可信。 安装证书以后，整个信息传输的过程将被加密，即使中间有人试图截取，也只会得到一段乱码，保证了信息传输的安全；同时，SSL证书需在CA机构核实信息之后签发，从而保证了网页的真实有效。 所以，SSL证书虽然看上去并不起眼，但用处却不容小觑，对企业来说，可以验明网站真身，减免流量损失，赢得用户信赖；同时，通过加密方式传输数据，有效保证了信息安全，尤其是用户隐私数据；此外，对网站优化、提升搜索权重也有裨益。 在安装SSL证书之后，在你网站左边的小绿锁上点击一下，会弹出一个菜单。点击你网站域名右边的小三角箭头，就可以知道本站点SSL证书的有效期是到哪一天，如果确定了SSL证书到期时间，需要网站所有者到HTTPS安全证书签发机构CA重新购买一个证书，SSL证书到期是不能再用的。 按照目前安全证书签发的国际标准，SSL证书不能超过27个月，EV类型的证书最长有效期是27个月，OV与DV证书不超过27个月。市面上一般都是一年起卖的多，最多的也就是二年，如果你的网站SSL证书已经到期了，是需要重新购买的，那么为什么SSL证书要设有效期呢？ 很多人第一直觉是CA机构为了收费所以设置了有效期，这确实是其中一个原因

作者：张辉 https://blog.csdn.net/ctrip_tech/article/details/80125741 作为互联网公司的信息安全从业人员经常要处理撞库扫号事件，产生撞库扫号的根本原因是一些企业发生了信息泄露事件，且这些泄露数据未加密或者加密方式比较弱，导致黑客可以还原出原始的用户密码。 目前已经曝光的信息泄露事件至少上百起，其中包括多家一线互联网公司，泄露总数据超过10亿条。 要完全防止信息泄露是非常困难的事情，除了防止黑客外，还要防止内部人员泄密。但如果采用合适的算法去加密用户密码，即使信息泄露出去，黑客也无法还原出原始的密码（或者还原的代价非常大）。 也就是说我们可以将工作重点从防止泄露转换到防止黑客还原出数据。下面我们将分别介绍用户密码的加密方式以及主要的破解方法。 一、用户密码加密 用户密码保存到数据库时，常见的加密方式有哪些，我们该采用什么方式来保护用户的密码呢？以下几种方式是常见的密码保存方式： 1、直接明文保存 ，比如用户设置的密码是“123456”，直接将“123456”保存在数据库中，这种是最简单的保存方式，也是最不安全的方式。但实际上不少互联网公司，都可能采取的是这种方式。推荐阅读： 2019 年 10 个最烂的密码 。 2、使用对称加密算法来保存 ，比如3DES、AES等算法，使用这种方式加密是可以通过解密来还原出原始密码的

Charles安装 HTTP抓包 HTTPS抓包 1. Charles安装 官网下载安装Charles: https://www.charlesproxy.com/download/ 2. HTTP抓包 （1）查看电脑IP地址 （2）设置手机HTTP代理 手机连上电脑，点击“设置->无线局域网->连接的WiFi”，设置HTTP代理： 服务器为电脑IP地址：如192.168.1.169 端口：8888 设置代理后，需要在电脑上打开Charles才能上网 （3）电脑上打开Charles进行HTTP抓包 手机上打开某个App或者浏览器什么的，如果不能上网，检查前面步骤是否正确 点击“Allow”允许，出现手机的HTTP请求列表 3. HTTPS抓包 HTTPS的抓包需要在HTTP抓包基础上再进行设置 设置前抓包HTTPS是这样的 设置后抓包HTTPS长这样 以下为在HTTP抓包基础上进行HTTP抓包的进一步设置步骤: （1）安装SSL证书到手机设备 点击 Help -> SSL Proxying -> Install Charles Root Certificate on a Mobile Device 出现弹窗得到地址 chls.pro/ssl 在手机Safari浏览器输入地址 chls.pro/ssl ，出现证书安装页面，点击安装 手机设置有密码的输入密码进行安装 注意：

第三方登录，就是使用大家比较熟悉的比如QQ、微信、微博等第三方软件登录自己的网站，这可以免去注册账号、快速留住用户的目的，免去了相对复杂的注册流程。下边就给大家讲一下怎么使用PHP开发QQ登录的功能。 1、进入QQ互联官网进行登录(可以使用自己的QQ或者重新注册一个QQ号作为咱们项目的单独QQ进行管理)，地址： https:// connect.qq.com/ 2、点击“应用管理”进入QQ互联管理中心，在这里进行相关应用的创建，分为 网站应用 和 移动应用。选择自己想要的应用进行资料的填写(审核需要等待大概7天左右)，审核通过你将获得APP ID和APP Key 3、审核通过获得相关接口：get_user_info。 4、下载QQ互联相关的demo http:// wiki.connect.qq.com/sdk %E4%B8%8B%E8%BD%BD 我下载的是 PHP SDK v2.1 5、仔细观察sdk我们会发现它包含有4个文件夹、2个文件，其中最主要的是API文件夹，其余的我觉得都可以忽略不看(你看也没事)，按照这篇文档一步一步往下进行，你就可以实现登录的功能。 6、将API文件夹拷贝到你的项目里，至于拷贝到项目的哪个文件夹，只要你能引入就行，看你心情来就可以，前期准备做好，接下来就是写代码了。 7、打开你拷贝到项目里的API文件夹，其中有一个comm文件夹

云栖号资讯：【 点击查看更多行业资讯 】 在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！ 一、前言 移动互联网应用程序(Mobile APP，以下简称“APP”或“移动APP”)安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员，在日常测试工作中经常涉及移动APP的安全检测，在此结合相关移动APP检测标准和工作经验，从渗透测试角度，对移动APP的检测进行概要性总结说明。 二、目标分析 移动APP的安全问题与传统桌面软件有所不同。虽然现代移动操作系统(如Android和iOS)已比较注重安全防护，但如果APP开发人员在开发移动应用程序时不全面仔细地考虑安全性，APP仍可能会存在可被利用的安全漏洞，从而面临安全威胁。移动APP渗透测试目的就是充分分析和挖掘移动APP和相关系统存在的安全问题，进而帮助其进行修复，提升安全性，保护用户信息。 从业务上来看，在移动APP架构中，面临安全威胁的目标 / 路径主要有三个，它们分别是：移动APP、数据传输和服务端。 三、面临的威胁 1. 客户端 客户端(移动APP)主要面临的威胁包括反编译、调试、篡改/重打包、输入记录、组件安全、注入和Hook、本地敏感数据泄露等。 (1) 反编译 对一个软件进行分析可以分为静态分析和动态分析两大部分。反编译是静态分析的一种基础手段。高级编程语言源代码经过编译变成可执行文件

导语 4月29日，阿里云五大安全产品全面升级在线发布，包括发布阿里云Web应用防火墙混合云解决方案，破解混合云环境下割裂的web安全管理难题；发布容器安全解决方案，助力客户解决容器安全问题，提高运维管理效率；发布UEM终端访问控制系统，助力企业全面识别内网风险，应对远程办公安全挑战；统一身份认证服务IDaaS全新升级，实现从静态认证授权到动态智能风控；同时对SSL证书的现状与挑战做了详细阐述。 本期分享嘉宾 阿里云安全技术专家杨永 本期议题 云上云下的全方位管理与防护——阿里云WAF推出混合云安全方案 本期精彩看点 01混合云场景下WEB应用安全管理痛点 不同的管理资源、防护架构和不一致的安全工具导致安全管理割裂： 安全风险识别能力不同，安全水位具有差异性； 多业务、多资源安全防护过程中防护能力强弱不同，易引发安全事件； 安全防护基线不同，策略调整与安全运维人员投入资源巨大； 数据防护级别差异性大，数据隐私泄漏风险高。 02如何解决？ 阿里云WAF推出混合云安全解决方案，实现多云环境下的统一管理：统一的运维中心，统一的网络接入，统一的安全防护和统一的安全管理。企业可以在公有云上进行集中的安全防护与管理，在专有云和私有云上部署软件化的阿里云软件WAF，能够轻松地跨越网络架构和机房的复杂性，实现云上云下的整体防护。 03该方案有何优势？ 集中管控实现统一防护、统一运维；