很长一段时间，我认为后端开发，在安全性方面最容易出问题的地方就在于SQL注入。通过 where 1=1这种魔幻的SQL写法，就可以很容易的对一个存在问题的系统进行攻击，以至于最终演进出sqlmap这样的神器存在。 后来的fastjson刷新了我的认知，这个框架也算是对互联网安全…

经过前面一系列的介绍，我们已经在阿里云的 K8s 集群上搭起了一套 Kong 网关，并通过平滑的迁移，将老架构中的服务逐步迁了过来，接下来就是考虑如何高效运维的思考了。 运维包括服务的监控和报警，Kong 网关的日常管理操作，K8s 的日常操作（可能也会对 Kong 有影响），…

Elastic 安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防，检测和响应威胁。 这个免费开放的解决方案可提供 SIEM，端点安全，威胁搜寻，云监视等功能。在上面 Security app 指的就是在 Kiba...

虽然http1.1默认开启了keep-alive长连接保持了这个TCP通道使得在一个HTTP连接中，可以发送多个Request，接收多个Response，但是一个request只能有一个response。而且这个response也是被动的，不能主动发起。 websocket虽然…

java类中会定义很多变量，有类变量也有实例变量，这些变量在访问的过程中，会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。 实际上，不可变对象只能保证在多线程环境中，对象使用的安全性，并不能够保证对象的可见性。 我们定义了一个ImmutableObjec…

我们经常在wifi设置中 设置代理到我们的pc http代理软件上，多数情况下，此时我们开启的app流量都可以在代理软件上看到，比如charles ， fiddler等等。 但是细心的人会发现 某些大厂的app 某些请求 在这些 http代理软件上就是抓不到， 给人的感觉就是 …

现在越来越多的公司以 API 的形式对外提供服务，这些 API 接口大多暴露在公网上，所以安全性就变的很重要了。最直接的风险如下： 非法使用 API 服务。（收费接口非法调用） 恶意攻击和破坏。（数据篡改、DOS） 因此需要设计一些接口安全保护的方式来增强接口安全，在运输层可添…

1. 前言 欢迎阅读Spring Security 实战干货系列文章，在集成Spring Security安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了，尤其是Http登录认证。根据以前的相关文章介绍，Http登录认证由过滤器UsernamePass…

一个简单的回答可能会是 HTTP 它不安全。由于 HTTP 天生明文传输的特性，在 HTTP 的传输过程中，任何人都有可能从中截获、修改或者伪造请求发送，所以可以认为 HTTP 是不安全的；在 HTTP 的传输过程中不会验证通信方的身份，因此 HTTP 信息交换的双方可能会遭到…