我们在设计接口的时候,最怕一个接口被用户截取用于重放攻击。重放攻击是什么呢?就是把你的请求原封不动地再发送一次,两次...n次,一般正常的请求都会通过验证进入到正常逻辑中,如果这个正常逻辑是插入数据库操作,那么一旦插入数据库的语句写的不好,就有可能出现多条重复的数据。一旦是比较慢的查询操作,就可能导致数据库堵住等情况。
这里就有一种防重放的机制来做请...
API接口 防并发、防重放、防篡改等攻击的机制
密码存储备忘单 安全的随机数方法
安全随机数生成
各种安全关键功能都需要随机数(或字符串),例如生成加密密钥,IV,会话ID,CSRF令牌或密码重置令牌。因此,重要的是要安全地生成它们,并且攻击者不可能猜测和预测它们。
通常,计算机不可能生成真正的随机数(没有特殊硬件),因此大多数系统和语言都提供两种不同类型的随机性。
伪随机数生成器(PRNG)提供了低质量的随机性,速度更快,并且可用于与安全...
python3 – AES 加密实现java中SHA1PRNG 算法
0x00 事由
最近和java项目对接遇到AES加密算法,java代码有SecureRandom.getInstance("SHA1PRNG"); python实在找不到对应的方法,C#,php,js代码各种查到,大家都有遇到,解决的不多,C# 直接用java算出key,然后用C#再算AES(https://blog.csdn.net/yunhua_lee/article/details/17226089),耗时差不多2天,最终在php代码中找到方法(https://github.com/myGGT/crypt_aes/blo...
OpenRASP Docker安装流程 MongoDB ElasticSearch
本文记录OpenRASP安装流程及过程中遇到的坑做个简单的记录。
安装
前提:
MongoDB 和 ElasticSearch都是用 Docker 安装的,因为方便。
需要内存在4GB,不然 ElasticSearch 安装好会无法运行!!!(关闭虚拟机,再更改内存到4GB即可)
根据官方文档,对数据库版本有明确要求:MongoDB 版本大于等于 3.6、ElasticSearch 版本大于等于 5.6,小于 7.0
如有其他问题和想知道具...
Error when getting information for file “//tmp/VMwareDnD/p6v6B6/*.*”: No such file or directory
我个人的解决方法是“用拖拽”不用复制粘贴。
找了一大堆都解决不了,只能重新安装vmware tools,但是重新安装发现:重新安装vmware-tools”灰色而无法安装 。最后找到找个办法
安装
卸载预装的“open-vm-tools”包
检测是否预装了 open-vm-tools
yum list installed | grep open-vm-*
卸载预装的程序包
yum remove open-vm-tools
#再次确认是否卸载成功
rpm -qa | grep o...
轻松弄懂 Nginx 详细设置解说
本文首先介绍 Nginx 的反向代理、负载均衡、动静分离和高可用的原理,随后详解 Nginx 的配置文件,最后通过实际案例实现 Nginx 反向代理和负载均衡的具体配置。学会 Nginx ,一篇足够了。
1. 简介
Nginx 是开源的轻量级 Web 服务器、反向代理服务器,以及负载均衡器和 HTTP 缓存器。其特点是高并发,高性能和低内存。
Nginx 专为性能优化而开发,性能是其最重要的考量,实现...
[转载]渗透测试,真的是合理需求吗?
![[转载]渗透测试,真的是合理需求吗?](https://pic3.zhimg.com/v2-2efa00074d1233c105f23c92d2497a0a_b.jpg)
近些年来,“渗透测试”似乎是目前行业中对攻防类服务需求响应最多的概念。大量企业声称自己需要渗透测试,安全服务供应商也声称自己能够提供渗透测试,双方一拍即合,很多“渗透测试”服务项目应运而生。然而这些“渗透测试”服务真的行之有效么?这些“渗透测试”需求也是合情合理么?
答案是否定的,其原因可能在于对“渗透测试”这一概念产生了理解偏差,导致很大一部分项目都在用...
通过IP获取主机名 – 通过主机名获取IP
通过IP获取主机名
nbtstat -A IP
通过主机名获取IP
nbtstat -a 对方计算机名
nbtstat -c
https://blog.csdn.net/DXJ_dengxiaoju/article/details/90370481
SSL Shop优惠券 SSLShop优惠码
收集CheapSSLShop优惠券代码以低价获得您的SSL证书。Cheap SSL Shop是一家全球SSL证书提供商,与RapidSSL,GeoTrust,Thawte,Symantec和GlobalSign等最受信任的证书颁发机构进行交易。您将获得的折扣价格远低于直接从证书颁发机构或其他供应商处购买的价格。比较在线商店的价格可以节省大量资金,但是最大的节省只能通过最高的折扣价提供。该公司带来了省钱的优惠代码,可...
python3 判断文件及文件夹是否存在 python3 html转义
python3 html转义
from xml.sax.saxutils import escape
from xml.sax.saxutils import quoteattr
escape("<这里是需要转译成html格式的代码>")
quoteattr('<这是要转义回的>')
使用 os 模块
判断文件是否存在
1
os.path.isfile(path)
判断目录是否存在
1
os.path.isdir(path)
判断路径是否存在
1
2...