security
CSP: Content-Security-Policy详解应对XSS攻击
https://www.jianshu.com/p/74ea9f0860d2 CSP: Content-Security-Policy详解 前言 跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。 为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本 ......
spring security 使用
鉴权 @PreAuthorize("@ss.hasPermi('system:notice:add')") @Service("ss") public class PermissionService { /** * 验证权限 * * @param permission ????? * @return ......
比较Spring Security6.X 和 Spring Security 5.X的不同
项目使用了SpringBoot3 ,因此 SpringSecurity也相应进行了升级 版本由5.4.5升级到了6.1.5 写法上发生了很大的变化,最显著的变化之一就是对 WebSecurityConfigurerAdapter 类的使用方式的改变。这个类在 Spring Security 中被广泛 ......
HUAWEI SECURITY 2023 山东大学专场 WP
Crypto by Smera1d0 1.ezrsa 题干如下: from Crypto.Util.number import getPrime from secret import flag p = getPrime(512) print(p,pow(flag, 2, p)) 给出了\(p\)和\ ......
微软允许OEM对Win10不提供关闭Secure Boot
用户可能将无法在Windows 10电脑上安装其它操作系统了,微软不再要求OEM在UEFI 中提供的“关闭 Secure Boot”的选项。 微软最早是在Designed for Windows 8认证时要求OEM的产品必须支持UEFI Secure Boot。Secure Boot 被设计用来防止 ......
OpenSSL学习(Secure Socket Layer)2023/11/13
示例OpenSSL版本为 OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022) 别搞错了!搞错容易在sm2签名验签出问题 生成自签名证书 openssl req -x509 -newkey rsa:2048 -keyout my ......
漏扫 X-Content-Type-Options X-XSS-Protection Strict-Transport-Security X-Frame-Options
web应用nginx部署未设置头部,导致可能出现安全问题 【未设置X-Content-Type-Options响应头】 【未设置X-XSS-Protection响应头】 【未设置Strict-Transport-Security响应头】 【X-Frame-Options头未设置】 Content-T ......
安全 – CSP (Content Security Policy) and X-Frame-Options
前言 之前讲过 CSRF。防 Cookie hacking 的。 也介绍过防 XSS 的 HtmlSanitizer。 今天再介绍多 2 个 CSP 和 X-Frame-Options。 CSP (Content Security Policy) 它是游览器的其中一种防 hack 机制。除 IE 以 ......
AtCoder Beginner Contest 224 H Security Camera 2
洛谷传送门 AtCoder 传送门 直接糊一手线性规划对偶板板。 要求: \[\min \sum A_i l_i + \sum B_i r_i \]\[\forall i, j, l_i + r_j \ge C_{i, j} \]\[l_i, r_i \ge 0 \]\[l_i, r_i \in \ ......
整合spring security自定义认证
一、认证 1. 自定义组件 (1)UserDetails自定义,实现用户登录方法; public interface UserDetailsService extends org.springframework.security.core.userdetails.UserDetailsService ......
【资讯阅读】CIO-Application security
 ![](https://img2023.cnblogs.com/blog/3073714/202310/3073... ......
java.security.provider.getservice blocked
bug: https://bugs.openjdk.org/browse/JDK-8206333 堆栈: "Osp-Common-Business-Thread-572" Id=1723 BLOCKED at java.security.Provider.getService(Provider.ja ......
Sitecore 里删除 Item 报错 Could not create SSL/TLS secure channel.
解决方法: 前往 mmc 里添加你的域名 win + r 输入 mmc 打开下图面板; ......
Secure Code Warrior C# Basic OWASP Web Top 10 2017 8: Insecure deserialization, 9: Using Components with Known Vulnerabilities, 10: Insufficient Logging and Monitoring
Last but not least. These set challenges consist of 8: Insecure deserialization, 9: Using Components with Known Vulnerabilities, 10: Insufficient Logg ......
Secure Code Warrior C# Basic OWASP Web Top 10 2017 5: Broken Access Control, 6: Security Misconfiguration and 7: XSS vulnerabilities
Learn the ropes or hone your skills in secure programming here. These challenges will give you an understanding of 5: Broken Access Control, 6: Securi ......
Secure Code Warrior C# Basic OWASP Web Top 10 2017 1: Injection Flaws and 2: Broken Authentication vulnerabilities 3: Sensitive Data Exposure and 4: XXE vulnerabilities
Let's continue with some other very common application weaknesses. This set of levels will focus on 3: Sensitive Data Exposure and 4: XXE vulnerabilit ......
Secure Code Warrior C# Basic OWASP Web Top 10 2017 1: Injection Flaws and 2: Broken Authentication vulnerabilities
Let's start with the most critical application weaknesses. These challenges get you the foundations of 1: Injection Flaws and 2: Broken Authentication ......
Security Reduction学习笔记(3):预备知识(困难问题,安全方案)
"问题"的数学定义: 使用数学原语来定义"问题"的数学概念 实例"(instance)和"解答"(solution)构成一个元素对$(x,y)$ 一系列这样的元素对构成的集合被称为"问题"(problems) 例如: 素数判定问题:$$PRIME=\{(1,False),(2,True),(3,Tr ......
Secure Code Warrior OWASP Web Top 10 2021 A1-A2 1: Broken Access Control and 2: Cryptographic Failures
Let’s start with the most critical application weaknesses. These challenges get you the foundations of 1: Broken Access Control and 2: Cryptographic F ......
Security Reduction学习笔记(2):预备知识(群环域,双线性配对,哈希函数)
省略部分可参考密码协议学习笔记(1.4):密码学的一些数学基础 - Isakovsky - 博客园 (cnblogs.com) 有限域: $\mathbb{F}$是有限个元素的集合 若$(\mathbb{F},+,*)$满足某些条件(条件略),则称其为有限域(Finite Field,或称Galoi ......
Secure Code Warrior Introduction to OWASP Top 10 Awareness (with latest updates from the Web top 10 2021)
Missing Function Access Control Access to these functionalities should be restricted to authenticated users. However, the current mechanism only check ......
Security Reduction学习笔记(1):密码系统与安全模型的定义
课件地址:Book (uow.edu.au),原作者声明该课件对人类和外星人免费开放 ( ̄_ ̄|| ) 现代密码学概念: 现代密码学与经典密码学的区别在于它强调定义(definitions)、模型(models)和证明(proofs). 定义澄清:密码学(Cryptology)= 设计密码学(Cry ......
Exception in thread "main" java.security.InvalidKeyException: Wrong key size问题的解决(DES加密算法遇到)
问题描述 在Java里面使用DES加密算法,然后就爆出这个错误: 问题解决 换用了另外一种加密解密的函数:SecretKeySpec; 即将原来的这种: 换成了这种: 我是觉得使用DES加密算法时,它一直显示key的字节长度不对,就想着换一种表述方式,又看到了别的友友的经验分享,就换成这样试了试(直 ......
'org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity' is deprecated
@EnableGlobalMethodSecurity(prePostEnabled = true) 已经被弃用了,最新的是:@EnableMethodSecurity。 file:[SecurityConfig.java] @Configuration @EnableWebSecurity add ......
报错解决:java.security.InvalidKeyException: Illegal key size(微信支付v3遇到的问题)
前言在使用微信支付v3生成jar包后 本地测试没有问题 在开发小程序支付功能的时候:本地开发好好的,放在linux服务器上运行时碰到报错 原因是因为微信支付256位秘钥加密解密策略 可能会导致某些jdk的版本加密解密出现问题 解决首先观察你这个目录下的文件 根据文件内容做判断 看下目录里面是有一个 ......
This generated password is for development use only. Your security configuration must be updated before running your application in production.问题的解决
问题描述 在我加上spring-boot-starter-security的依赖之后,启动项目报出来这样的错误: 问题解决 在启动类的注解上,加上这么一段代码就ok啦! 启动成功: ......
什么是软件开发领域的 Security Audit
引言 安全审计是当今数字时代的重要组成部分,它在保护组织的信息和资产免受威胁和攻击方面发挥着至关重要的作用。随着互联网的广泛应用和信息技术的飞速发展,安全审计变得愈发不可或缺。本文将深入探讨什么是安全审计,为什么它如此重要,并提供详细的示例来说明安全审计的实际应用。 什么是安全审计? 安全审计是一种 ......
什么是 security ReDoS 安全漏洞
security ReDoS漏洞,全称"Security Regular Expression Denial of Service",是一种涉及到正则表达式的安全漏洞,可以导致严重的性能问题和拒绝服务攻击。正则表达式是一种用于匹配文本模式的强大工具,但如果不正确使用,可能会导致恶意输入数据引发的性能 ......
Spring Security 基于 JWT Token 的接口安全控制
现在的网站开发,基本上都是前后端分离,后端提供 api 接口并进行权限控制。使用 Spring Security 框架可以大大简化权限控制的代码实现。对于后端接口而言,为了能够实现多节点负载均衡部署,更好的方案是不再使用 Session 了,绝大多数情况下,通过提交 JWT Token 来进行身份认 ......
Black-Box Attack-Based Security Evaluation Framework forCredit Card Fraud Detection Models
Black-Box Attack-Based Security Evaluation Framework forCredit Card Fraud Detection Models 动机 AI模型容易受到对抗性攻击(对样本添加精心设计的扰动生成对抗性示例) 现有的对抗性攻击可以分为白盒攻击和黑盒攻击 ......