在Spring Security 2中使用本地化资源文件

replace

hologram company | We supply hologram Sticker, holography Sticker, holographic sticker, Holography Machinery, Hologram sticker

The top most common mistakes developers make today when they implement input validation routines for web application attack

允许权限、拒绝权限、传播权限、阻止权限是权限控制体系中非常重要的概念，作者在文中做了一定程度的描述。

servlet的线程安全问题，在一般情况下是不会出现的，但是如果对此理解不够，很容易造成编程上的逻辑混乱。

Acegi Security 安全系统

Security, say analysts and vendors, will continue to dominate the agenda of enterprises in 2007.

Hello, I'm Scott Field, an Architect working on Windows Kernel Security. There have been a lot of questions recently about a Windows technology called Kernel Patch Protection (sometimes referred to as PatchGuard) so I wanted to provide some context about the feature to help answer them. OS kernel design is a very specialized area of computer science that rarely receives a lot of public attention, so it's understandable that there are a lot of questions out there. The purpose of this post is to give a basic primer on Kernel Patch Protection and why it is an important technology to increase the security and reliability of Windows-based PCs.

“gets()”函数的例子仅仅是使用Google代码搜索能够找到的这类问题的一个例子。著名安全研究人员Dug Song和Aaron Campbell在博客中指出，Google代码搜索能够用来发现十几种不同的安全漏洞，包括某些缓存溢出状况，格式串漏洞、off-by-one错误等等。 在近期，Google代码搜索将帮助开发人员找到和修复能够导致严重安全漏洞的编写不佳的代码。从长远看，Google代码搜索将改善安全状况，因为这项功能提供了一个令人难以置信的查看代码的功能强大的方法。然而，近期的发展是非常不平坦的，因为在其它团体努力修复漏洞的时候，坏蛋们也在挖掘安全漏洞。

根据 ACE Team 博客，你应该升级到这个版本的五大理由是： 1。更多的Encoding方法，除了HtmlEncode和UrlEncode方法外，这个版本还提供了HtmlAttributeEncode，JavaScriptEncode，VisualBasicScriptEncode，XmlEncode，XmlAttributeEncode 5个方法！ 2。对Partially Trusted Caller Attribute (PTCA)的支持 3。大为改进的文档，例程和实用教程 4。End User License Agreement (EULA)更为清晰和灵活 5。升级路径极其容易，因为这个版本里仍然支持旧的命名空间

20 ways to Secure your Apache Configuration

ReverseDOS is a very simple HttpModule that checks various parts of incoming requests against a list of crap that you don't want pushed on to your site. If ReverseDOS detects a match, it attempts to stall the requesting client for a number of seconds (specified in a .config file). During this loop, which uses virtually no server resources - and only a tiny smidgen of bandwidth, ReverseDOS checks every .3 seconds to see if the client is still connected. If the spammer disconnects, good riddance. If the spammer sticks around, they're finally rewarded with the Response Headers - containing an HTTP 403 - Access Denied Response Code. (Awwwhh tooo bad...)

大家对密码执行散列和Salt运算一定不陌生。两个Visual Studio企业版示例都是用的这个方法来加密这个方法的。结合示例代码，我总结了一个包含对密码进行加密，比较等静态方法的类。使用说明：先用HashAndSalt方法对密码进行加密，然后存储到数据库中。在用户登录时用ComparePasswords方法在对用户输入的密码和用户注册时存储在数据库中的密码进行比较，判断用户输入的密码是否正确。

Storing Passwords - done right!

Whether it is through manual poking and prodding or the use of security testing tools, malicious attackers employ a variety of tricks to break into SQL Server systems, both inside and outside your firewall. It stands to reason then, if the hackers are doing it, you need to carry the same attacks to test the security strength of your systems. Here are 10 hacker tricks to gain access and violate systems running SQL Server.

Kevin Mitnick 的黑客生涯可谓充满传奇，在1995年2月被捕入狱服刑四年半之前，美国国防部、五角大楼、中央情报局、北美防空系统、美国国家税务局、纽约花旗银行、Sun、摩托罗拉等都曾是他闲庭信步的地方，"社会工程学"也成了后来黑客模仿的典范，无数的黑客书籍以敬畏的口吻崇拜着他。

“你必须培训开发人员，”SPI的霍夫曼先生说。“围绕Ajax的炒作正导致一个问题：人们看到了MySpace的成功而纷纷采用Ajax技术。他们24小时内读完一本如何学会Ajax的书，然后创建一个存在安全隐忧的网站。”

这些论文是Honeynet项目的成果。它们讨论了入侵者团体的工具，手段和动机。

ASP.NET 应用程序与其他 Web 应用程序相较，既不更易受攻击，也不更安全。安全性和漏洞同样根植于编码实践、实际经验和团队合作。如果网络不安全，那么任何应用程序都不安全；类似地，无论网络如何安全，管理如何精良，如果应用程序存在缺陷，攻击者总是能够得手。ASP.NET 的好处是提供了一些好的工具，只需少量工作，就可以将安全标准提升到可以接受的级别。当然，这并不是 足够高的级别。不应纯粹以来 ASP.NET 的内置解决方案，同样也不应忽视它们。尽可能多地了解常见的攻击。

看到这篇文章之后，感觉到每个SQL Server 2000都有可以"挖掘"和"探索"的漏洞(还好现在用SQL Server 2005居多)，告诫自己以后每次部署SQL Server 2000/2005的时候，都要从这些工具箱中选出几个，试一下。SQL injection 无处不在，要时刻保持安全警惕性。