信息安全

一、漏洞背景 安全公告编号：CNTA-2020-0004 2020年02月20日， 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞， 攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：****webapp 配置文件或源代码等 。 受影响的版本包括：Tomcat 6，Tomcat 7的7.0.100以下版本，Tomcat 8的8.5.51以下版本，Tomcat 9的9.0.31以下版本。 CNVD 对该漏洞的综合评级为“ 高危 ”。 二、影响版本 1、Apache Tomcat 9.x < 9.0.31 2、Apache Tomcat 8.x < 8.5.51 3、Apache Tomcat 7.x < 7.0.100 4、Apache Tomcat 6.x 三、漏洞分析 3.1 AJP Connector Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接，Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求，以及把Tomcat服务器的响应结果发送给客户。 在Apache

从今年3月份全世界黑客攻击网站分析局势来看，黑客攻击的网站中中国占有了绝大多数。那麼作为一个公司或是开发公司，如何防止自身的网站黑客攻击，从企业网站建设之初，就应当搞好这种安全对策，当你的网站保证以下几个方面都做好了的话，相对性是较为安全的。下边就由SINE安全网编为你唠唠如何防止网站被攻击的安全防护干货经验。 1、越权： 问题叙述：不一样管理权限帐户中间存有越权浏览。 改动提议：提升用户权限的认证。 留意：通常根据不一样管理权限客户中间连接浏览、cookie、改动id等。 2、密文传送 问题叙述：系统对客户动态口令维护不够，网络攻击能够 运用攻击专用工具，从互联网上盗取合理合法的客户动态口令数据信息。 改动提议：传输的登陆密码必须进行多次加密防止被破解。 留意：全部登陆密码要数据加密。要繁杂数据加密。不能用或md5。 3、sql注入： 问题叙述：网络攻击运用sql注入系统漏洞，能够 获得数据库查询中的多种多样信息内容，如：后台管理系统的登陆密码，进而脱取数据库查询中的內容（脱库）。 改动提议：对输入主要参数开展过滤、校检。选用黑名单和白名单的方法。 留意：过滤、校检要遮盖系统软件内全部的主要参数。 4、跨站脚本制作攻击： 问题叙述：对输入信息内容沒有开展校检，网络攻击能够 根据恰当的方式引入故意命令代码到网页页面。这类代码一般 是JavaScript，但事实上，还可以包含Java

　　1 . 可以利用网络安全公司的实时检查。例如使用设于Symantec网站的security check功能，以确定电脑是否备有防护电脑病毒和恶意代码的能力。此功能还可以扫描电脑，寻找安全漏洞和病毒，并将扫描结果与其他已经扫描的系统作比较。迄今为止，已经有超过300万的用户浏览过这个网站，推荐使用。 　　2. 进行任何网上交易或发送电邮前，切记阅读网站的隐私保护政策，因为有些网站会将你的个人资料卖给第三方。 　　3. 经常更改你的密码，使用包含字母和数字的七位数的密码，从而干扰黑客利用软件程序来搜寻最常用的密码。 　　4. 安装个人防火墙，以防止个人资料和财务数据被窃取。及时升级是非常重要的一环，否则防火墙的作用就没有被完全发挥，被攻击的可能性依然很大。此外，你还可利用保安软件将重要资料保密，减少不慎把这些资料发送到不安全网站的可能性。 　　5. 不要打开来自陌生人的电子邮件附件。这些附件可能包含一个特洛伊木马程式，该程序让黑客长驱真入电脑文档，甚至控制外设，有些黑客甚至能潜入互联网照相机（Web camera）进行监视。此外，你还应当安装一个具备防病毒程式的软件，保护电脑免受病毒、特洛伊木马程序和蠕虫的侵害。 　　6. 使用保安软件或防火墙以防止黑客攻击和spyware（一个连接外部服务器并将个人资料传送至网络的软件）。这些软件能够保护个人电脑和资料免受黑客窃取

背景 某集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分： 楼宇智能化规划和建设方案：主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。 企业IT基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。 本方案主要是针对某集团企业IT基础架构进行规划，并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。 企业IT架构 一般企业的IT架构情况，本方案主要针对IT基础架构部分进行规划，并提供选型和部署参考，关于企业IT业务应用系统部分的规划和建设请参考其它方案。 网络系统规划 当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首要解决的是生存问题，根本没办法做到“先信息化，再做业务”，因此网络建设实施要求必须容易，实施时间必须极短。

vue进行Base64加解密 背景 项目中需要对特殊字符进行处理，避免json和数据库的特殊字符（""等）冲突，刚好学了信息安全，干脆整个加解密，wkk。。 使用步骤 打开dos，在项目根目录运行 npm install --save js-base64 在组件中引入 let Base64 = require('js-base64').Base64 使用 Base64.encode(明文) Base64.decode(密文) 来源： https://www.cnblogs.com/qujialin/p/10981743.html

现在的网络技术已经日渐成熟，各种网站、APP也越来越多，让人看得眼花缭乱，而短信验证码又是诸多企业开发网站、APP时必须要用到的。但当我们在选择短信验证码接口的时候，首先要确定的就是其安全性，那么作为短信验证码接口平台应该如何避免被***，确保用户的信息安全呢？ 1、图形验证码的同步使用 现在越来越多的网站为了确保自身的安全性，在要求用户注册的时候，不但需要填写短信验证码，还需要进行图形的同步验证。短信验证码与图形验证码的同步使用相当于为安全加固了一层防护墙，减少了被***的危险性。 2、触发式的条件限制 大多数网站要求用户进行注册的时候，需要填写详细的信息。如果填写的注册资料不完整的话将不能触发获取短信验证码。但是很多网站都将用户的注册简洁化了，这也增加了被***的危险性。 3、短信验证码与注册步骤的分开 为了能够确保短信验证码接口的安全性，可以先让用户注册，但是注册之后如果需要进行一些其他的服务和操作的时候，就需要完成短信验证码的验证之后才可以进行。这样将注册步骤与短信验证码的接收分开进行，对于短信验证码更安全。 4、短信验证码发送时间间隔性 很多网站为了确保安全性，避免许多重复注册的情况出现，在短信验证码的发送上设置了一定的间隔时间，大多是60秒。这也是一种很常见的确保短信验证码接口能够安全高效，避免被***的措施。 5、一个手机号接受短信验证码的限制

第1章 智慧景区系统总体设计方案 1.1.智慧景区系统的总体架构 臻图信息 智慧景区系统的总体架构如下图所示： 智慧景区建设内容概括起来可以分为两个层面和两个中心的建设：即基础层、应用层和指挥调度中心、数据中心。 基础层包括通讯网络设施、信息安全保障、物联网软硬件系统、视频系统、数据中心等。其中物联网硬件包括各种传感设备（射频传感器、位置传感器、能耗传感器、速度传感器、热敏传感器、湿敏传感器、气敏传感器、生物传感器等），这些设备嵌入到景区的物体和各种设施中，并与互联网连接。 应用层包括面向各职能部门的应用信息系统，以加强资源保护管理为目的建设的环境监测系统，生物、文物资源监测系统，规划监测系统等；面向日常经营管理的OA办公系统，规划管理信息系统，GPS调度系统，视频监控系统，电子门票系统，LED大屏幕信息发布系统等；以及面向产业发展的电子商务、旅行社和酒店管理、客户关系管理系统等，以及面向游客服务的信息呈现和互动系统。 指挥调度中心实现管理资源的整合，及对各职能部门的统一组织协调。是最重要的核心平台，它整合系统各应用支撑系统的能力，实现资源监测、运营管理、游客服务、产业整合等功能。它主要包括： a)地理信息系统（GIS）同时将多媒体技术、数字图像处理、网络远程传输、定位导航技术和遥感技术有机地整合到一个平台上。 b)旅游电子商务平台和电子票务系统。 c

/*--> */ /*--> */ 目录 概述 演示一：零改造实施单点登录 演示二： 单点注销 演示三：集成AD认证 演示四：客户端单点登录 演示五：移动端单点登录 单点登录SSO概述 本系列将由浅入深的，带大家掌握最新单点登录SSO方案选型，以及架构开发实战。系列将结合示例、源码以及演示视频，让大家能够直观、深入学习。 文末附5个满足不同单点登录场景的gif动画演示。本系列后继文章会深入它们的实现方式以及适用场景，大家也可以先观看揣摩其实现。 零改造实施单点登录 单点注销 集成AD认证 客户端单点登录 移动端单点登录 单点登录即Single Sign On（SSO）。它是大型政府OA、企事业单位OA的标配解决方案。它概言之就是在多个Web、桌面或移动应用系统中，用户只需要登录一次，就可以访问所有的应用系统。 从业十多年，为政府、电信、跨国公司顾问和实施的单点登录解决方案无数，深谙其痛点与关键。 和很多人直观猜测相反，单点登录方案的定制性很强。很多企业的单点登录，实施是有问题的。尤其是被一些软件产品的销售人员牵着走的企业，它的单点登录方案实施，从产品方案选型起就存在根本性问题。这些方案常常要求大量现有业务系统的改造（基于统一身份认证服务，采用OpenId，OAuth，SAML等技术创建和传递认证凭据），或者只是体验较差的类似浏览器自动填充账号密码的功能（如Oracle的ESSO）

《iOS应用逆向工程：分析与实战》 基本信息 作者： 沙梓社 吴航 刘瑾 丛书名： 信息安全技术丛书 出版社：机械工业出版社 ISBN：9787111450726 上架时间：2014-1-10 出版日期：2014 年1月 开本：16开 页码：1 版次：1-1 所属分类：计算机 更多关于》》》 《iOS应用逆向工程：分析与实战》 内容简介 书籍 计算机书籍 　　《ios应用逆向工程：分析与实战》是ios应用逆向工程方面的权威著作，三位作者都是ios领域内的专家，拥有扎实的理论知识和丰富的实践经验。本书内容以工具+代码的形式全面、系统地展开知识点，由浅入深，图文并茂地带着读者一步步探索常规ios app之外的世界。 　　《ios应用逆向工程：分析与实战》分为四大部分，分别是概念、工具、理论和实战。前三部分介绍ios逆向分析领域的背景、知识体系，以及相应的工具集、理论知识；第四部分则通过4个实际案例来将前面的知识以实战的方式展开。第一部分为概念篇，简单介绍ios逆向分析的概念以及ios平台系统架构。第二部分为工具篇，介绍一系列基于mac和ios平台的配套工具，并且重点讲解其中的class-dump、theos、reveal、ida、gdb等5个工具的使用方法，前3个侧重于使用，后2个侧重于分析。第三部分为理论篇，主要讲述ios逆向/越狱方向的进阶必备理论知识。第四部分为实战篇

《自己动手写操作系统》读书笔记——初识保护模式 http://www.cnblogs.com/pang123hui/archive/2010/11/27/2309930.html 书本第三章第一节是《认识保护模式》，初步讲解了保护模式下全局描述符表GDT、段描述符、段选择子、从实模式进入保护模式等内容。去年看这个的时候，如果不是有以前学习保护模式时做的笔记，还真不好懂呢，因为作者提供的材料不够系统，对仅学习过8086汇编语言的人来说，是不太好理解的。下面的内容大体以我以前做的笔记为纲，较为简略，只说明要点。（本来还可以参考下以前学习保护模式时收集的资料的，很可惜，移动硬盘坏了，资料都没有了，早就该注意信息安全了的。） 描述符与描述符表 8086是16位处理器，有16位的寄存器和数据总线，20位的地址总线，寻址能力为1MB。地址由段基址和段偏移两部分组成，段基址和偏移地址都是16 位的，物理地址的计算方式为：物理地址=段基址×16+段偏移。从80386开始，Intel处理器进入了32位时代，地址总线为32位，寻址能力为 4GB。此时，通用寄存器变成从16位变成了32位，但段寄存器仍然是16位的，原来的基地址加偏移值的物理地址计算方法已经不适用了，需要新的计算方法。 386以上CPU运行于保护模式时，虽然段寄存器仍然是16位的，但是其意义已经发生了变化：不再是表示段基地址了