五星上炕

Apache Shiro配置（二）

总的参考文档：http://shiro.apache.org/reference.html
本文参考文档：http://shiro.apache.org/configuration.html

原文中关于配置的话题是概述中的一节，配置很重要也有点小复杂，这里把它独立出来成为一章。

1、SecurityManager组件图

首先明确一点，在使用Shiro之前要先进行配置，那么配置的目的是什么？配置的东西是什么？首先再看一下Shiro的详细架构图：

重点关注SecurityManager这一块。前文说过，SecurityManager相当于是一个大帽子，里边有很多组件。在进行应用开发时，我们需要实例化一个SecurityManager对象。SecurityManager包含很多组件，在实例化SecurityManager之前，要先实例化Authenticator、Authorizer等各种组件，然后再通过SecurityManager的各种setter方法或者构造函数将Authenticator、Authorizer等组件设置进去，最后完成SecurityManager的初始化。Authenticator、Authorizer等各种组件可以是Shiro内置实现，也可以是开发者自定义的实现。

配置的目的就是控制应用如何始化SecurityManager包含的各种组件以及SecurityManager本身的初始化。

2、硬编码配置

SecurityManager本身及它包含的所有组件都是JAVA BEAN对象，我们可以通过在程序以硬编码的方式实例化SecurityManager及它包含的各种组件，绕过配置文件，当然一般不会这么干。看两个示例。

示例1：

Realm realm = new MyRealm(param1, param2, param3,...);
SecurityManager securityManager = new DefaultSecurityManager(realm);
SecurityUtils.setSecurityManager(securityManager);

上例很简单。
第一行代码：MyRealm是开发者实现Shiro的Realm接口而自定义的Realm，这个相当于是通常应用中的DAO层，先实例化它。
第二行代码：实例化SecurityManager，它是DefaultSecurityManager类型，把第一行实例化的Realm当成参数传给它。
第三行代码：这个主要实现单例模式。把实例化后的SecurityManager传给SecurityUtils，SecurityUtils在整个应用中只有一个实例，setSecurityManager只需要一次，在应用中的其它地方使用SecurityManager时，只需要调用SecurityUtils.getSecurityManager()方法就行了。

SecurityManager包含的其它组件，开发者没有提供自己的实现，那么就用Shiro的默认实现。

示例2：

...

DefaultSecurityManager securityManager = new DefaultSecurityManager(realm);

SessionDAO sessionDAO = new CustomSessionDAO();

((DefaultSessionManager)securityManager.getSessionManager()).setSessionDAO(sessionDAO);
...

这个更进一步，它实现了自定义SessionDAO。SessionDAO并不是SecurityManager的直属成员，SecurityManager包含SessionManager，SessionManager才包含SessionDAO，因此它的设置方法就像最后一行代码一样。

3、配置文件配置

硬编码不够灵活，通过配置文件配置JAVA BEAN，程序中的工厂类读取配置文件并根据配置文件实例化JAVA BEAN对象，这个很常见，Shiro也一样。

示例代码如下：

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.config.IniSecurityManagerFactory;

...

Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);

上边的代码简单明了，shiro.ini就是配置文件。前边的classpath前缀表示文件们于应用的classpath路径下。也可以这样指定：file:/目录1/目录2/.../shiro.ini，这个表示配置文件位于文件系统中。还可以这样：uri:http://xxxx:8080/myweb/shiro.ini，通过http请求获取文件。

4、自定义INI实例化SecurityManager

在实际的项目开发中，SecurityManager的配置信息有可能保存在zookeeper、etcd、各种数据库中。这个时候可以先实例化一个org.apache.shiro.config.Ini类，这个类与java.util.Properties相似，自己写一段代码从各种数据源读配置信息，然后设置到org.apache.shiro.config.Ini里边，最后再将org.apache.shiro.config.Ini实例传给工厂类，或者通过继承覆盖org.apache.shiro.config.Ini中的方法都可以。配置示例如下：

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.config.Ini;
import org.apache.shiro.config.IniSecurityManagerFactory;

...

Ini ini = new Ini();
//从数据源读取数据，并设置ini
...
Factory factory = new IniSecurityManagerFactory(ini);
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);

5、INI内容

就是觉的普通配置文件，以下是完整样例：

# =======================
# Shiro INI configuration
# =======================

[main]
# Objects and their properties are defined here,
# Such as the securityManager, Realms and anything
# else needed to build the SecurityManager

[users]
# The 'users' section is for simple deployments
# when you only need a small number of statically-defined
# set of User accounts.

[roles]
# The 'roles' section is for simple deployments
# when you only need a small number of statically-defined
# roles.

[urls]
# The 'urls' section is used for url-based security
# in web applications.  We'll discuss this section in the
# Web documentation

内容简单明了，分成四个section。

5.1.[main] section

这个是配置文件的主机部分，主要是用来决定如何初始化SecurityManager实例，SecurityManager本身、SecurityManager的直属组件、SecurityManager直属组件的组件都可以在这里配置，有那些组件可以参考Shiro的详细架构图。先看一个示例：

1    [main]
2    sha256Matcher = org.apache.shiro.authc.credential.Sha256CredentialsMatcher

4    myRealm = com.company.security.shiro.DatabaseRealm
5    myRealm.connectionTimeout = 30000
6    myRealm.username = jsmith
7    myRealm.password = secret
8    myRealm.credentialsMatcher = $sha256Matcher

9    securityManager.sessionManager.globalSessionTimeout = 1800000

上例中，第一行与第四行是在定义一个实例，等号前边是实例名称，等号后边是实例的JAVA类。

从第五行到第八行，在定义myRealm的属性，等号前边的内容是包括句号分隔符的。如myRealm.username表示设置的是myRealm这个实现的username属性。第五行到第八行设置的是myRealm的简单属性，可以在等号后边直接把值写进去。第八行这个成员是一个对象，所以可以看到等号后边的$符号，表示这不是普通的简单值，$后边的值sha256Matcher代表实例名称，就是在第二行已经实例化的。

第9行可以看到包含了两个分隔符，因为设置的属性不是SecurityManager的直接成员，是它成员的成员，这个是嵌套属性的配置方法。

上例配置中定义了一个Realm，SecurityManager在实例化后，就从这个Realm作为获取安全数据的源。

假如某属性的值是二进值，很明显在配置之前需要先将数据作转换，有两种方式。一种是base64编码，如下：

# The 'cipherKey' attribute is a byte array.    By default, text values
# for all byte array properties are expected to be Base64 encoded:

securityManager.rememberMeManager.cipherKey = kPH+bIxk5D2deZiIxcaaaA==
...

另一种是用十六进制数表示，但是要注意，转换成16进制后，要在前边加上0x或者x标志，示例如下：

securityManager.rememberMeManager.cipherKey = 0x3707344A4093822299F31D008

在前边的例子中，为实例配置的属性都是单值，如果属性是list、map等集合类属性的话，应该像下边下样配置。

list情况：

1    sessionListener1 = com.company.my.SessionListenerImplementation
...
3    sessionListener2 = com.company.my.other.SessionListenerImplementation
...
5    securityManager.sessionManager.sessionListeners = $sessionListener1, $sessionListener2

上例中SecurityManager的直属成员SessionManager，它包括的SessionListeners就是list类型，用来为会话管理实现配置监听器，就像第五行一样，多个值之间用逗号隔开。

map情况：

object1 = com.company.some.Class
object2 = com.company.another.Class
...
anObject = some.class.with.a.Map.property

anObject.mapProperty = key1:$object1, key2:$object2

map的成员也用逗号分隔，每一个成员用分号分隔，前边表示key，后边表示value。

假如不小心出现了如下配置：

...
myRealm = com.company.security.MyRealm
...
myRealm = com.company.security.DatabaseRealm
...

myRealm实例的真正类型会是后者，也就是后者会覆盖前者，当然实际上这是一种错误，在配置时要避免。

另上在上边的配置中，securityManager这个实例是直接使用的，如下：

myRealm = ...

securityManager.sessionManager.globalSessionTimeout = 1800000
...

可以看到，securityManager并没有像Realm一样，先定义一个实例如：securityManager=com.xxx.xxx.xxx，而是直接使用。原因就是securityManager一定会被实例化，实例化时也有默认的类，因此不需要先在配置中声明这个实例。当然如果默认的securityManager类无法满足需求，开发者也可以定义自己的实现类，如下：

...
securityManager = com.company.security.shiro.MyCustomSecurityManager
...

一般我们不需要这样做。

5.2.[users] section

在真实的应用中，一般不需要配置[user]部分与接下来的[roles]部分，因为与用户安全相关的敏感数据一般不直接写在配置文件中，而是放置在某种数据源中如数据库，然后在[main]部分为SecurityManager配置Realm从而读取数据。[users]与[roles]这两个部分多数用在测试、演示场景中，将少量并且不需要变更的用户敏感数据直接写在配置文件中。

示例如下：

[users]
admin = secret
lonestarr = vespa, goodguy, schwartz
darkhelmet = ludicrousspeed, badguy, schwartz

[users]下边每一行的格式如下：

username = password, roleName1, roleName2, …, roleNameN

等号前边是用户名，等号后边第一个值是密码，接下来的值全是角色名。

上边的password是明文，password也可以加密，示例如下：

1    [main]
2    ...
3    sha256Matcher = org.apache.shiro.authc.credential.Sha256CredentialsMatcher
4    ...
5    iniRealm.credentialsMatcher = $sha256Matcher
6    ...
7
8    [users]
9    # user1 = sha256-hashed-hex-encoded password, role1, role2, ...
10   user1 = 2bb80d537b1da3e38bd30361aa855686bde0eacd7162fef6a25fe97bf527a25b, role1,         role2, ...

可以看到，第九行是明文，第十行是sha256转换过的，看到这个配置文件的人并不知道user1的真正密码是什么。刚才说了，[users]与[roles]在真实的应用中一般不需要配置，而是在[main]部分为SecurityManager配置安全数据源。但是，如果一旦配置了[users]或者[roles]，则相当于自动在[main]部分为SecurityManager增加了一份数据源，它有默认的名称"iniRealm"，它的类型是org.apache.shiro.realm.text.IniRealm，效果等同于在[main]部分增加"iniRealm=org.apache.shiro.realm.text.IniRealm"这样一行配置。当然如果配置了[users]或者[roles]这一行是自动添加的，用户不需要添加，可以直接使用。iniRealm会从配置文件的[users]与[roles]部分读取用户数据。

上例中[users]部分的password是经过sha256数字摘要的，因此，iniRealm在收到用户密码时，首先对用户密码作sha256数字摘要，然后再与[users]中配置的内容对比。而第三行与第五行就是告诉iniRealm如何摘要用户密码的。如果没有这个，iniRealm会将收集到的用户password直接与[users]中配置的sha256摘要对比，这个一定是不能通过验证的。

上例中，sha256Matcher是org.apache.shiro.authc.credential.Sha256CredentialsMatcher类型的实例，而org.apache.shiro.authc.credential.Sha256CredentialsMatcher是CredentialsMatcher接口的具体实现。它只是负责对收到的用户password做sha256摘要。而实际上，用户password在数据源保存时的格式可以是各种各样，不只是通过sha256加密，而用户在提交password时也不一定直接就是password原文，也可能是通过password推导出来的其它东西，例如加盐、多种hash值迭代等。开发者可以开发自己的org.apache.shiro.authc.credential.CredentialsMatcher实现，由它来负责如何解析Realm中的用户密码，如何解析用户在认证时提交的password或者各种凭据。当然一般不需要这样做，因为Shiro提供了足够多的CredentialsMatcher实现，例如：

AllowAllCredentialsMatcher
HashedCredentialsMatcher
Md2CredentialsMatcher
Md5CredentialsMatcher
PasswordMatcher
Sha1CredentialsMatcher
Sha256CredentialsMatcher
Sha384CredentialsMatcher
Sha512CredentialsMatcher
SimpleCredentialsMatcher

上边的实现如果还不能满足需求，才需要自己开发，详细参考：http://shiro.apache.org/static/1.3.2/apidocs/org/apache/shiro/authc/credential/CredentialsMatcher.html

5.3.[roles] section

这一部分用于定义角色，示例如下：

[roles]
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
# The 'schwartz' role can do anything (*) with any lightsaber:
schwartz = lightsaber:*
# The 'goodguy' role is allowed to 'drive' (action) the winnebago (type) with
# license plate 'eagle5' (instance specific id)
goodguy = winnebago:drive:eagle5

每一行的格式如下：
rolename = permissionDefinition1, permissionDefinition2, …, permissionDefinitionN

关于permissionDefinition，详细参考这里：http://shiro.apache.org/permissions.html，后文也会介绍，这里稍微解释一下上例中的内容。

admin = *
这一行表示admin角色可以作任何事情。

schwartz = lightsaber:*
这一行表示schwartz角色能够对lightsaber做任何事情。这里展开一下，如果只允许schwartz角色对lightsaber执行“看”与“摸”的操作，则配置应该是这个样子：schwartz = "lightsaber:look,touch"，等号前的schwartz表示角色名，等号后的lightsaber表示资源名，“：”后的look与touch表示允许的操作。注意新加的双引号，因为本身permissionDefinition中出现了逗号分于分隔不同的操作，所以要用双引号把它括起来，否则的话Shiro会认为lightsaber:look是一条permissionDefinition，而touch是另一条。

goodguy = winnebago:drive:eagle5
看等号后边的值，是用":"分隔的三元组，这是一种更细粒度的控制，winnebago表示资源集合，drive表示能对资源执行什么操作，而eagle5表示资源实例的ID，也就是goodguy角色能够开winnebago资源集合中的eagle5实例。

密码体制分类旧火车现代密码学密码学
密码体制从原理上可分为两大类，即单钥体制和双钥体制。1.单钥体制单钥体制的加密密钥和解密密钥相同。系统的保密性取决于密钥的安全性，与算法的保密性无关，即由密文和加密算法不能得到明文。换句话说，算法无须保密，需保密的仅是密钥。根据单钥密码体制的这种特性，单钥加解密算法可通过低费用的芯片来实现。密钥可由发方产生，然后再经一个安全可靠的途径(如信使递送)送至收方，或由第三方产生后安全可靠地分配给通信双方
网络安全，文明上网（2）加强网络安全意识 IT 青年中国好网民阅读
前言在当今这个数据驱动的时代，对网络安全保持高度警觉已经成为每个人的基本要求。网络安全意识：信息时代的必备防御网络已经成为我们生活中不可或缺的一部分，信息技术的快速进步使得我们对网络的依赖性日益增强。然而，网络安全问题也随之日益严重，包括个人信息的泄露、网络诈骗以及黑客攻击等。因此，增强网络安全意识对于保护个人隐私、财产安全乃至国家安全都显得尤为重要。网络安全意识的重要作用网络安全意识是个人在网络
通过代理服务器进行爬虫，能提高数据采集的效率和准确性 Loongproxy 服务器
在信息的汪洋大海中，爬虫技术如同一位辛勤的渔夫，帮助我们捕捞那些有价值的数据珍珠。然而，面对网站设置的种种访问限制，如何确保爬虫行动的自由与安全，便成为了摆在我们面前的一道难题。这时，代理服务器便如同一座桥梁，它不仅能够巧妙地绕过这些障碍，让爬虫得以顺利通行，还能有效隐藏我们的真实身份，保护我们的隐私安全。本文将深入剖析代理服务器的作用，并详细指导你如何利用它来助力爬虫工作，让你的数据捕捞之旅更加
探讨爬虫多开代理IP的用途，以及如何配置它们 Loongproxy 网络服务器运维
爬虫多开代理IP是爬虫开发中的得力助手，旨在提升数据采集效率与安全性。通过启用多个代理IP，爬虫能够实现并发访问，显著加速数据抓取过程。同时，这一策略有效规避了因频繁访问而被目标网站封禁IP的风险。更重要的是，利用不同地域的代理IP，爬虫能够模拟来自各地的用户请求。配置时，需先收集代理IP列表，然后在爬虫代码中设置代理参数，确保每个爬虫实例通过不同的IP进行访问。一、为什么需要多开代理IP？1.避
chatgpt赋能python：Python降级指南：如何安全地降级Python版本 tulingtest ChatGpt chatgpt 人工智能计算机
Python降级指南：如何安全地降级Python版本当你正在开发一个项目时，你可能会遇到一个问题：你需要使用的库只支持较旧的Python版本，而你正在使用的Python版本却较新。这个时候，降级Python版本可能是你的最佳选择。在这篇文章中，我们将介绍如何安全地降级Python版本。什么是Python降级？Python降级是指将Python的版本从较新的版本降至较旧的版本。在编写Python代码
Mac软件打开提示：已损坏，无法打开。您应该将它移到废纸娄怎么解决? kcarly 系统运维 Mac OS macos
文件损坏？尊嘟假嘟？新入手的苹果电脑打开软件出现：“已损坏，无法打开。您应该将它移到废纸娄”或“已损坏，打不开。推出磁盘映像”。这个怎么解决？第一步：允许打开任何来源软件1、点菜单栏搜索图标，输入：终端，找到后，点击打开，如下图：2、输入以下命令：（复制粘贴进去），如下图：sudospctl--master-disable3、回车！输入电脑密码此代码是打开：系统偏好设置–安全性与隐私中的【任何来源
网络安全拟态防御技术网安墨雨 web安全安全网络
一.拟态防御拟态现象（MimicPhenomenon,MP）是指一种生物如果能够在色彩、纹理和形状等特征上模拟另一种生物或环境，从而使一方或双方受益的生态适应现象。按防御行为分类可将其列入基于内生机理的主动防御范畴，又可称之为拟态伪装（MimicGuise,MG）。如果这种伪装不仅限于色彩、纹理和形状上，而且在行为和形态上也能模拟另一种生物或环境的拟态伪装，我们称之为“拟态防御”（MimicDef
网络安全技术之网络安全网络安全Ash web安全安全网络
网络安全之物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发
2024年网络安全最全CTF —— 网络安全大赛_ctf网络安全大赛网安墨雨 web安全安全
前言随着大数据、人工智能的发展，人们步入了新的时代，逐渐走上科技的巅峰。\⚔科技是一把双刃剑，网络安全不容忽视，人们的隐私在大数据面前暴露无遗，账户被盗、资金损失、网络诈骗、隐私泄露，种种迹象表明，随着互联网的发展，网络安全需要引起人们的重视。\互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说，凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研
2024年网络安全最全计算机网络-面试题汇总_请求尾(1) 2401_84281629 程序员 web安全计算机网络网络
应用层有什么作用？网络层解释下PING命令？传输层TCP三次握手过程？为什么三次握手？TCP四次挥手过程？为什么四次挥手？四次挥手为什么等待2MSL？四次挥手期间的状态？TCP和UDP的区别？TCP如何保证可靠传输？TCP是大端序还是小端序？TCP粘包问题？冗余确认为什么是三次冗余ACK而不是两次？应用层
网络安全面试题及经验分享网安墨雨 web安全经验分享安全
本文内容是i春秋论坛面向专业爱好者征集的关于2023年面试题目和答案解析，题目是真实的面试经历分享，具有很高的参考价值。shiro反序列化漏洞的原理Shiro反序列化漏洞的原理是攻击者通过精心构造恶意序列化数据，使得在反序列化过程中能够执行任意代码。Shiro是一个Java安全框架，提供了身份验证、授权、加密和会话管理等功能。其中，Shiro的序列化功能可以将对象序列化为字节流，以便在不同的系统之
第八讲 SPU密态引擎 huang8666 数据分析
第八讲SPU密态引擎为什么做SPU？模型对用户加密提示词对公司加密同时保护模型和提示词为什么要隐私计算？数据是敏感的数据是重要的技术路线：多方安全计算同态加密差分隐私可信硬件挑战：易用性差，性能差需要：原生AI框架支持，编译器运行时协同优化SPU简介前端：支持主流AI前端，降低学习成本，复用AI前端能力编译器：隐私保护领域IR，复用AI编译器部分优化，加密计算的优化运行时：指令并行，数据并行，多种
第八讲 SCQL使用 huang8666 数据库 mysql
第八讲SCQL使用部署系统项目设置联合分析scql概念：project：多个参与方在协商一致后加入到同一个项目中进行安全数据分析参与方身份认证数据表管理：管理参与分析的数据表的schema信息权限信息管理：表字段的权限信息，特别是CCL信息SCDB包含的内容：database,user,table,privilege创建用户通过root账户，语法时间戳，签名公钥地址：防止伪造身份攻击创建项目创建表
一款能够自动化过滤扫描结果的目录扫描工具，dirsx 尘佑不尘自动化 web安全安全工具
公众号：泷羽Sec-尘宇安全前言平时使用过dirsearch｜dirmap等一些目录扫描工具，针对如今的WEB多样化，对扫描结果的过滤总感觉与预期不符合。因此下定决心造个轮子，就这样有了dirsx。下载地址：后台回复20241227获取下载地址往期推荐14w+poc，nuclei全家桶：nuclei模版管理工具+Nuclei红队武器库VulToolsKit全家桶：图形化页面+自己额外添加的一些工具
工业互联网架构 st20195114 架构
工业互联网架构详解引言工业互联网（IndustrialInternet）是工业领域与互联网技术深度融合的产物，它推动了智能制造和数字化转型的进程。工业互联网架构的设计不仅需要满足数据处理和通信的要求，还需考虑设备互联、数据分析和安全等多方面的因素。本文将对工业互联网架构进行详细阐述，帮助理解其关键组成部分及其功能。工业互联网架构概述工业互联网架构通常包括设备层、网络层、数据层和应用层四个主要部分。
网络安全学习 day1 whoami-4 网络安全 web安全学习 php
前言计算机病毒种类狠毒蠕虫病毒--->具备蠕虫特性的病毒；1.繁殖性特别强（自我繁殖）；2.破坏性木马--->木马屠城故事--->木马本身不具备任何破坏性。用于控制后门的一个程序（后门--->指的是测试人员在目标系统中植入的一种隐藏式访问途径，可以使得在未来未得到授权的情况下重新访问系统）网络安全--->已经不再局限于网络世界，而是提升到了工控安全、网络空间安全。APT攻击--->高级可持续攻击；
2023全国职业院校技能大赛网络系统管理赛项（Linux部分真题） Jackson~Y linux 运维服务器
一、Linux项目任务描述你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：（一）拓扑图（二）网络地址规划服务器和客户端基本配置如下表，
Python 潮流周刊#81：在个人电脑上运行 GPT-4 级别的大模型（摘要） python
本周刊由Python猫出品，精心筛选国内外的250+信息源，为你挑选最值得分享的文章、教程、开源项目、软件工具、播客和视频、热门话题等内容。愿景：帮助所有读者精进Python技术，并增长职业和副业的收入。分享了12篇文章，12个开源项目，2则音视频，全文2200字。以下是本期摘要：文章&教程①在个人电脑上运行GPT-4级别的大模型②PEP-768：CPython的安全外部调试接口③深入探究Cele
渗透测试工具包 | 开源安全测试工具 | 网络安全工具_网络安全渗透测试工具程序员安安安全开源测试工具网络安全信息安全 web安全 android
项目介绍记录渗透测试开源工具。自动化渗透测试AttackSurfaceMapper-自动化渗透测试工具,使用手册/测试流程。vajra-自动化渗透测试.Savior-渗透测试报告自动生成工具！.漏洞利用框架hackUtils-它是一个用于渗透测试和网络安全研究的黑客工具包，渗透以及web攻击脚本。msf框架：pocsscan攻击框架Pocsuite攻击框架Beebeeto攻击框架漏洞POC&EXP
内网安全攻防：渗透测试实战指南之内网信息搜集网络安全进阶渗透测试网络安全渗透测试 web安全信息安全
《内网安全攻防：渗透测试实战指南》第2章：内网信息搜集内网渗透测试的核心是信息搜集。本章主要介绍了当前主机信息搜集、域内存活主机探测、域内端口扫描、域内用户和管理员权限的获取、如何获取域内网段划分信息和拓扑架构分析等，并介绍了域分析工具BloodHound的使用。搜集本机信息网络配置信息、操作系统及软件的信息、本机服务信息、进程列表、启动程序信息、计划任务、主机开机时间、用户列表、连接会话、端口列
【网络安全】消息鉴别 Hacker_Nightrain web安全网络安全
1.消息鉴别1.1定义消息鉴别是指消息接收者对消息进行验证的过程，其目的是确保收到的消息来自可信的源点且在传输过程中未被篡改。这一过程主要检测消息的真实性和完整性。在网络安全领域，消息鉴别是确保数据传输安全性的关键技术之一。1.2必要性在信息传输过程中，存在多种潜在的安全威胁，包括但不限于：伪造攻击：攻击者可能伪造消息源，向网络中发送虚假消息，以误导接收者或进行欺诈。篡改攻击：消息在传输过程中可能
内网渗透测试工具及渗透测试安全审计方法总结 Hacker_Nightrain 测试工具安全网络
1.内网安全检查/渗透介绍1.1攻击思路有2种思路：攻击外网服务器，获取外网服务器的权限，接着利用入侵成功的外网服务器作为跳板，攻击内网其他服务器，最后获得敏感数据，并将数据传递到攻击者，看情况安装长期后门，实现长期控制和获得敏感数据的方式；攻击办公网的系统、办公网电脑、办公网无线等方式，一般是采用社工，实现控制办公电脑，再用获得的办公网数据，可能是内网的各种登录账号和密码，再获取办公网或者生产网
小程序适配底部安全距离 dingcho 前端小程序
方案一onLoad(options){const{screenHeight,safeArea,windowHeight}=wx.getWindowInfo()letsafeBottom=windowHeightif(safeArea?.bottom){safeBottom=safeArea.bottom}safeBottom=screenHeight-safeBottomthis.setData(
JAVA 18 新特性详解沉浮yu大海 Java18
Java18是Java语言的一次重要更新，引入了一系列新特性和改进，使开发者能够编写更高效、更安全的代码。本文将详细介绍Java18中的一些主要新特性，并提供相应的代码示例，以帮助开发者更好地理解和使用这些新特性。1.简介Java18的发布标志着Java语言在性能、安全性和开发效率方面的又一次飞跃。本次更新不仅带来了新的语言特性，还包括了一些实验性功能和工具的改进。下面，我们将依次介绍这些新特性。
Golang面试题四（并发编程） os-lee go高级 golang 开发语言后端
目录1.Go常见的并发模型2.哪些方法安全读写共享变量3.如何排查数据竞争问题4.Go有哪些同步原语1.Mutex(互斥锁)2.RWMutex(读写互斥锁)3.Atomic3.1.使用场景3.2.整型操作3.3.指针操作3.4.使用示例4.Channel使用场景使用示例5.sync.WaitGroup使用场景使用示例内部结构关键方法源码解析内部实现细节6.sync.Once使用场景使用示例实现原理
WebSocket 安全实践：从认证到加密
在前三篇文章中,我们深入探讨了WebSocket的基础原理、服务端开发和客户端实现。今天,让我们把重点放在安全性上,看看如何构建一个安全可靠的WebSocket应用。我曾在一个金融项目中,通过实施多层安全机制,成功防御了多次恶意攻击尝试。安全挑战WebSocket应用面临的主要安全挑战包括：身份认证数据加密跨站点WebSocket劫持(CSWSH)拒绝服务攻击(DoS)中间人攻击让我们逐一解决这些
智能合约安全之重入攻击
概述重入攻击（ReentrancyAttack）是一种常见的智能合约安全漏洞，指黑客利用合约中存在的逻辑漏洞，在调用合约函数时，利用合约逻辑漏洞，反复调用合约的函数，并利用这种递归调用的机制，以欺骗合约的计算，从而使攻击者获得非法利益。重入攻击的本质是合约内部调用的函数未能恰当地处理合约状态的更改。攻击者利用这个漏洞，将攻击代码插入到合约执行流程中，使得攻击者可以在合约还未完成之前再次调用某个函数
【openGauss】数据库安全-数据库认证机制小嗑数据库数据库开源软件
数据库认证机制可获得性本特性自openGauss1.1.0版本开始引入。特性简介提供基于客户端/服务端（C/S）模式的客户端连接认证机制。客户价值加密认证过程中采用单向Hash不可逆加密算法PBKDF2，有效防止彩虹攻击。特性描述openGauss采用基本的客户端连接认证机制，客户端发起连接请求后，由服务端完成信息校验并依据校验结果发送认证所需信息给客户端（认证信息包括盐值、token以及服务端签
《智守数据堡垒——AI驱动的MySQL数据治理合规框架》墨夶数据库学习资料2 人工智能 mysql 数据库
在当今数字化转型加速的时代，企业面临着前所未有的数据挑战。一方面，海量的数据为企业带来了巨大的商业价值；另一方面，如何确保这些数据的安全性、一致性和合法性成为了亟待解决的问题。尤其是在金融、医疗等高度监管行业中，任何数据泄露或不当使用都可能导致严重的法律后果和社会影响。为此，构建一个既高效又能满足法律法规要求的数据治理体系显得尤为重要。今天，我们将探讨一种创新性的解决方案——利用人工智能（AI）技
麒麟操作系统服务架构保姆级教程（十一）https配置小屁不止是运维系统架构架构 https 网络协议 linux 运维 LNMP 服务器
如果你想拥有你从未拥有过的东西，那么你必须去做你从未做过的事情在运维工作中，加密和安全的作用是十分重要的，如果仅仅用http协议来对外展示我们的网站，过一段时间就会发现网站首页被人奇奇怪怪的篡改了，本来好好的博客论坛，被人篡改的五毒俱全，这个时候我们的网站就需要加密访问了，这个加密不是说要密码才可以查看网站，而是通过https协议进行加密访问，客户端进行访问的时候会进行加密和解密，防止我们的web
ViewController添加button按钮解析。（翻译）张亚雄 c
<div class="it610-blog-content-contain" style="font-size: 14px"></div>// ViewController.m // Reservation software // // Created by 张亚雄 on 15/6/2.
mongoDB 简单的增删改查开窍的石头 mongodb
在上一篇文章中我们已经讲了mongodb怎么安装和数据库/表的创建。在这里我们讲mongoDB的数据库操作在mongo中对于不存在的表当你用db.表名他会自动统计下边用到的user是表明，db代表的是数据库添加(insert):
log4j配置 0624chenhong log4j
1) 新建java项目 2) 导入jar包，项目右击，properties—java build path—libraries—Add External jar，加入log4j.jar包。 3) 新建一个类com.hand.Log4jTest package com.hand; import org.apache.log4j.Logger; public class
多点触摸(图片缩放为例) 不懂事的小屁孩多点触摸
多点触摸的事件跟单点是大同小异的，上个图片缩放的代码，供大家参考一下 import android.app.Activity; import android.os.Bundle; import android.view.MotionEvent; import android.view.View; import android.view.View.OnTouchListener
有关浏览器窗口宽度高度几个值的解析换个号韩国红果果 JavaScript html
1 元素的 offsetWidth 包括border padding content 整体的宽度。 clientWidth 只包括内容区 padding 不包括border。 clientLeft = offsetWidth -clientWidth 即这个元素border的值 offsetLeft 若无已定位的包裹元素
数据库产品巡礼：IBM DB2概览蓝儿唯美 db2
IBM DB2是一个支持了NoSQL功能的关系数据库管理系统，其包含了对XML，图像存储和Java脚本对象表示（JSON）的支持。DB2可被各种类型的企业使用，它提供了一个数据平台，同时支持事务和分析操作，通过提供持续的数据流来保持事务工作流和分析操作的高效性。 DB2支持的操作系统 DB2可应用于以下三个主要的平台: 工作站，DB2可在Linus、Unix、Windo
java笔记5 a-john java
控制执行流程： 1，true和false 利用条件表达式的真或假来决定执行路径。例：（a==b）。它利用条件操作符“==”来判断a值是否等于b值，返回true或false。java不允许我们将一个数字作为布尔值使用，虽然这在C和C++里是允许的。如果想在布尔测试中使用一个非布尔值，那么首先必须用一个条件表达式将其转化成布尔值，例如if(a!=0)。 2，if-els
Web开发常用手册汇总 aijuans PHP
一门技术，如果没有好的参考手册指导,很难普及大众。这其实就是为什么很多技术，非常好，却得不到普遍运用的原因。正如我们学习一门技术，过程大概是这个样子： ①我们日常工作中，遇到了问题，困难。寻找解决方案，即寻找新的技术； ②为什么要学习这门技术？这门技术是不是很好的解决了我们遇到的难题，困惑。这个问题，非常重要，我们不是为了学习技术而学习技术，而是为了更好的处理我们遇到的问题，才需要学习新的
今天帮助人解决的一个sql问题 asialee sql
今天有个人问了一个问题，如下： type AD value A
意图对象传递数据百合不是茶 android 意图Intent Bundle对象数据的传递
学习意图将数据传递给目标活动; 初学者需要好好研究的 1,将下面的代码添加到main.xml中 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http:/
oracle查询锁表解锁语句 bijian1013 oracle object session kill
一.查询锁定的表如下语句，都可以查询锁定的表语句一： select a.sid, a.serial#, p.spid, c.object_name, b.session_id, b.oracle_username, b.os_user_name from v$process p, v$s
mac osx 10.10 下安装 mysql 5.6 二进制文件［tar.gz］征客丶 mysql osx
场景：在 mac osx 10.10 下安装 mysql 5.6 的二进制文件。环境：mac osx 10.10、mysql 5.6 的二进制文件步骤：[所有目录请从根“/”目录开始取，以免层级弄错导致找不到目录] 1、下载 mysql 5.6 的二进制文件，下载目录下面称之为 mysql5.6SourceDir；下载地址：http://dev.mysql.com/downl
分布式系统与框架 bit1129 分布式
RPC框架 Dubbo 什么是Dubbo Dubbo是一个分布式服务框架，致力于提供高性能和透明化的RPC远程服务调用方案，以及SOA服务治理方案。其核心部分包含: 远程通讯: 提供对多种基于长连接的NIO框架抽象封装，包括多种线程模型，序列化，以及“请求-响应”模式的信息交换方式。集群容错: 提供基于接
那些令人蛋痛的专业术语白糖_ spring Web SSO IOC
spring 【控制反转(IOC)/依赖注入(DI)】：由容器控制程序之间的关系，而非传统实现中，由程序代码直接操控。这也就是所谓“控制反转”的概念所在：控制权由应用代码中转到了外部容器，控制权的转移，是所谓反转。简单的说：对象的创建又容器(比如spring容器)来执行，程序里不直接new对象。 Web 【单点登录(SSO)】：SSO的定义是在多个应用系统中，用户
《给大忙人看的java8》摘抄 braveCS java8
函数式接口：只包含一个抽象方法的接口 lambda表达式：是一段可以传递的代码你最好将一个lambda表达式想象成一个函数，而不是一个对象，并记住它可以被转换为一个函数式接口。事实上，函数式接口的转换是你在Java中使用lambda表达式能做的唯一一件事。方法引用：又是要传递给其他代码的操作已经有实现的方法了，这时可以使
编程之美-计算字符串的相似度 bylijinnan java 算法编程之美
public class StringDistance { /** * 编程之美计算字符串的相似度 * 我们定义一套操作方法来把两个不相同的字符串变得相同，具体的操作方法为： * 1.修改一个字符（如把“a”替换为“b”）; * 2.增加一个字符（如把“abdd”变为“aebdd”）; * 3.删除一个字符（如把“travelling”变为“trav
上传、下载压缩图片 chengxuyuancsdn 下载
/** * * @param uploadImage --本地路径(tomacat路径) * @param serverDir --服务器路径 * @param imageType --文件或图片类型 * 此方法可以上传文件或图片.txt,.jpg,.gif等 */ public void upload(String uploadImage,Str
bellman-ford(贝尔曼-福特)算法 comsci 算法 F#
Bellman-Ford算法(根据发明者 Richard Bellman 和 Lester Ford 命名)是求解单源最短路径问题的一种算法。单源点的最短路径问题是指：给定一个加权有向图G和源点s，对于图G中的任意一点v，求从s到v的最短路径。有时候这种算法也被称为 Moore-Bellman-Ford 算法，因为 Edward F. Moore zu 也为这个算法的发展做出了贡献。与迪科
oracle ASM中ASM_POWER_LIMIT参数 daizj ASM oracle ASM_POWER_LIMIT 磁盘平衡
ASM_POWER_LIMIT 该初始化参数用于指定ASM例程平衡磁盘所用的最大权值，其数值范围为0~11，默认值为1。该初始化参数是动态参数，可以使用ALTER SESSION或ALTER SYSTEM命令进行修改。示例如下： SQL>ALTER SESSION SET Asm_power_limit=2;
高级排序:快速排序 dieslrae 快速排序
public void quickSort(int[] array){ this.quickSort(array, 0, array.length - 1); } public void quickSort(int[] array,int left,int right){ if(right - left <= 0
C语言学习六指针_何谓变量的地址一个指针变量到底占几个字节 dcj3sjt126com C语言
# include <stdio.h> int main(void) { /* 1、一个变量的地址只用第一个字节表示 2、虽然他只使用了第一个字节表示，但是他本身指针变量类型就可以确定出他指向的指针变量占几个字节了 3、他都只存了第一个字节地址，为什么只需要存一个字节的地址，却占了4个字节，虽然只有一个字节，但是这些字节比较多，所以编号就比较大，
phpize使用方法 dcj3sjt126com PHP
phpize是用来扩展php扩展模块的，通过phpize可以建立php的外挂模块,下面介绍一个它的使用方法,需要的朋友可以参考下安装（fastcgi模式）的时候，常常有这样一句命令：代码如下: /usr/local/webserver/php/bin/phpize 一、phpize是干嘛的？ phpize是什么？ phpize是用来扩展php扩展模块的，通过phpi
Java虚拟机学习 - 对象引用强度 shuizhaosi888 JAVA虚拟机
本文原文链接：http://blog.csdn.net/java2000_wl/article/details/8090276 转载请注明出处！无论是通过计数算法判断对象的引用数量，还是通过根搜索算法判断对象引用链是否可达，判定对象是否存活都与“引用”相关。引用主要分为：强引用(Strong Reference)、软引用(Soft Reference)、弱引用(Wea
.NET Framework 3.5 Service Pack 1（完整软件包）下载地址 happyqing .net 下载 framework
Microsoft .NET Framework 3.5 Service Pack 1（完整软件包） http://www.microsoft.com/zh-cn/download/details.aspx?id=25150 Microsoft .NET Framework 3.5 Service Pack 1 是一个累积更新，包含很多基于 .NET Framewo
JAVA定时器的使用 jingjing0907 java timer 线程定时器
1、在应用开发中，经常需要一些周期性的操作，比如每5分钟执行某一操作等。对于这样的操作最方便、高效的实现方式就是使用java.util.Timer工具类。 privatejava.util.Timer timer; timer = newTimer(true); timer.schedule( newjava.util.TimerTask() { public void run()
Webbench 流浪鱼 webbench
首页下载地址 http://home.tiscali.cz/~cz210552/webbench.html Webbench是知名的网站压力测试工具，它是由Lionbridge公司（http://www.lionbridge.com）开发。 Webbench能测试处在相同硬件上，不同服务的性能以及不同硬件上同一个服务的运行状况。webbench的标准测试可以向我们展示服务器的两项内容：每秒钟相
第11章动画效果（中） onestopweb 动画
index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
windows下制作bat启动脚本. sanyecao2314 java cmd 脚本 bat
java -classpath C:\dwjj\commons-dbcp.jar;C:\dwjj\commons-pool.jar;C:\dwjj\log4j-1.2.16.jar;C:\dwjj\poi-3.9-20121203.jar;C:\dwjj\sqljdbc4.jar;C:\dwjj\voucherimp.jar com.citsamex.core.startup.MainStart
Java进行RSA加解密的例子 tomcat_oracle java
加密是保证数据安全的手段之一。加密是将纯文本数据转换为难以理解的密文；解密是将密文转换回纯文本。　　数据的加解密属于密码学的范畴。通常，加密和解密都需要使用一些秘密信息，这些秘密信息叫做密钥，将纯文本转为密文或者转回的时候都要用到这些密钥。　　对称加密指的是发送者和接收者共用同一个密钥的加解密方法。　　非对称加密(又称公钥加密)指的是需要一个私有密钥一个公开密钥，两个不同的密钥的
Android_ViewStub 阿尔萨斯 ViewStub
public final class ViewStub extends View java.lang.Object android.view.View android.view.ViewStub 类摘要： ViewStub 是一个隐藏的，不占用内存空间的视图对象，它可以在运行时延迟加载布局资源文件。当 ViewSt