作者小头像 Lv.4
更多个人资料
983 成长值
0 关注
0 粉丝
+ 关注 私信

个人介绍

一切皆对象

感兴趣或擅长的领域

编程语言
个人勋章
TA还没获得勋章~
成长雷达
980
3
0
0
0

个人资料

个人介绍

一切皆对象

感兴趣或擅长的领域

编程语言

达成规则

以上满足项可达成此勋章

  • 博客
  • 关注
  • 粉丝
  • 论坛
全部时间
全部时间
最近三天
最近一周
最近一月
  • 全部
  • 其他
  • 数据库
  • 面试题
  • 安全知识
  • JAVA基础知识
sslcontext_证书校验_java请求_代码解析
背景由于安全方面的需求,针对java发起的接口请求,需要使用https请求,同时需要进行证书校验,确保请求访问可信。但是经过调研发现,基本上很难有人说清楚该怎么校验,没有完整的模板套件,直接拿来用。综合整理下来,感觉原因无非1.与https的证书校验,如果需要达到百分百的校验,其实还是比较复杂的。 2.java后端请求有很多种请求方式,每种方式的使用的类,校验方式又不同,又进一步增加了复杂性...
Java web安全
作者小头像 object 2025-04-11 09:31:10
204
0
0
2025-04-11 09:31:10
204
0
0
SQL优化
简介最近不经常写sql了,但是作为CRUD的核心,作为一个开发的基础技能,SQL的优化还是很重的,在写sql的时候,能注意到这些细节,可能会极大的优化性能一、避免使用select *select * 说实话确实很多时候确实很要用,特别是针对项目初期,可能经常会涉及字段的变更。反例:select * from employ原因:过多的字段查询,IO传输会浪费大量资源select * 不会走覆盖...
SQL
作者小头像 object 2025-01-14 09:28:58
840
0
0
2025-01-14 09:28:58
840
0
0
web攻击总结
由于会经常浏览一些安全的帖子,觉得有用的就会收藏起来,时间久了,收藏的网页越来越多,浏览起来特别方便,于是想了想,觉得还是基于自己的理解以及其他人的经验,尽量总结到一块,也方便自己做归纳总结,对于同一类的问题,也能及时发现。本次主要总结的内容为web攻击相关的知识。一、XSS注入基本介绍可在浏览器侧执行某些特定的攻击代码片段。本质是js代码执行。例如获取cookie并发送到自己的网站(跨站)...
web安全
作者小头像 object 2025-01-03 16:56:03
732
0
0
2025-01-03 16:56:03
732
0
0
log4j安全配置-防御日志注入
https://bbs.huaweicloud.com/blogs/444386前面梳理了CRLF注入,其中有一条就是关于日志注入的,除了手动的方式,就是我们经常使用的log4j本身就提供了CRLF防御手段,仅需一个简单的配置log4j配置文件示例截取其中的一个appender做介绍 <!-- 将日志信息输出到控制台 --> <appender name="ConsoleAppe...
web安全
作者小头像 object 2025-01-03 16:27:03
800
0
0
2025-01-03 16:27:03
800
0
0
XSS防御
背景主要针对xss的补充防御:https://bbs.huaweicloud.com/blogs/444386#H10防御措施上文提到的常见防御手段主要分为:入参校验出参转码前端过滤一、入参校验入参校验主要针对一些特殊字符进行过滤,避免持久型XSS的情况。如果发现有特殊字符,则根据业务需求,进行相应的处理。例如禁止访问、直接过滤/替换字符,或者进行转码。各有优缺。禁止访问:如果检测到特殊字符...
web安全
作者小头像 object 2025-01-03 11:55:58
744
0
0
2025-01-03 11:55:58
744
0
0
WEB攻击字符
结合其他文章,需要针对一些web攻击进行字符过滤、转码。做一个总结特殊字符特殊字符SQL注入攻击XSS命令注入文件包含攻击XXEURL编码攻击CSV注入,需过滤      .   需过滤   ?       !需过滤 需过滤    :       ;需过滤 需过滤需过滤   "需过滤需过滤  需过滤  '需过滤需过滤  需过滤  (需过滤需过滤需过滤    )需过滤需过滤需过滤    [需过...
web安全
作者小头像 object 2025-01-03 10:58:20
881
0
0
2025-01-03 10:58:20
881
0
0
idea全局搜索有数量显示限制,白盒检视时可能导致遗漏
一、现象有时候,我们可能需要全局搜索某些字符,用作排查,例如排查是否有日志打印。  可以看到,实际远超100个,但能查询到的只有11个,就是idea做了限制,这针对某些情况下,可能会导致排查遗漏。二、解决方案如果是2021前版本,使用快捷键Ctrl + Shift + Alt + / ,选择Registry,然后找到参数ide.usages.page.size,默认为100,设置为自己需要的...
IDE
作者小头像 object 2024-11-06 10:34:11
1780
0
0
2024-11-06 10:34:11
999+
0
0
日志脱敏
一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁...
web安全
作者小头像 object 2024-10-21 14:45:45
1198
0
0
2024-10-21 14:45:45
999+
0
0
不安全随机数
一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑...
web安全 代码规范
作者小头像 object 2024-10-16 16:20:26
1313
1
1
2024-10-16 16:20:26
999+
1
1
什么是containerd,Docker和Containerd的区别
一、背景曾经遇到一个机器,明明使用了容器技术,使用容器部署服务,由于知识有限,完全不知道怎么部署上去的。尝试了很多docker命令,完全没用,我还很奇怪,为什么能使用docker却可以禁用docker命令。也没有合适的人问,不过一次偶然,知道了原来容器技术除了docker还有其他的。例如containerd,当然也是docker的一个组件,不过命令完全不同二、什么是containerdcon...
K8s 容器
作者小头像 object 2024-10-15 15:55:51
1270
0
0
2024-10-15 15:55:51
999+
0
0
总条数:97
10
10
20
50
100
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • ...
  • 10

上滑加载中

https://www.baidu.com/s?ie=utf-8&f=3&rsv_bp=0&rsv_idx=1&tn=baidu&wd=sed%20%E6%9B%BF%E6%8D%A2%E5%AD%97%E7%AC%A6%E4%B8%B2&rsv_pq=c7db61a600035dc5&rsv_t=5e19yEsbV9N5fIvdlGRU
作者小头像
作者小头像
快速交付
+ 关注
OSZAR »