应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 Java 应用系统开发 ServletContext 和 Web 配置 王晓东 wangxiaodong@ouc.edu.cn 中国海洋大学 November 26, 2018 大纲 Web 应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 学习目标 ServletContext。 2. 了解 Web 应用的配置方法。 3. 掌握 MVC 模式 Web 开发中发挥核心作用的转发，区别转 发与重定向。 大纲 Web 应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 大纲 Web 应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 大纲 Web 应用环境对象 应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 接下来⋯ Web 应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 大纲 Web 应用环境对象 Java EE Web 的配置 Servlet 配置对象 转发和重定向 本节习题 Web 应用环境对象 将 Web 应用部署到服务器上，启动 Web

基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 报告日期：2022.11.25 复旦大学 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 Rust语言 ❑ 系统级安全编程语言 ▪ 内存安全 ▪ 并发安全 ▪ 效率 2006年 2011年 Foundation成立 2020年 2021年 Mozilla裁员Servo团队 AWS, Huawei, Google, Microsoft, Mozilla… Rust如何保障内存安全？ ❑ 内存安全问题产生的主要原因之一是指针别名导致悬空指针 ▪ 手动释放内存或调用析构函数 ▪ 函数返回时发生的自动析构或内存释放 ❑ Rust设计的目标之一是编译时检查指针别名（共享可变引用） ▪ 0x012345usize; let r = address as *const i32; } unsafe { risky(); } 调用unsafe函数 定义unsafe函数 Rust的安全哲学 ❑ Safe API无论如何被使用都不应带来未定义行为 ❑ 程序员应避免直接使用unsafe code ❑ Interior unsafe：将unsafe code封装为safe API

第三届中国 Rust 开发者大会 安全高效的二进制序列化 Daniel Wang @ NEAR Borsh • 运行、编码效率 • 确定性 • 跨平台兼容性 二进制序列化的问题 Binary Object Representation Serializer for Hashing • 字节级别确定性 • 执行速度快 Borsh • 轻量级 • 每一个对象与其二进制表示之间都存在一个双射映射

编写安全的Python代码 邓良驹 2019.10.19 思考题 if user.balance >= product.price: user.balance -= product.price ? 目录 CONTENTS 常见不安全代码 代码检查的工具 总结：如何规避风险 常见不安全代码 小心 eval 应对： 在生产环境中，任何情况下都不要使用eval。 import sys "__main__": shellcode = pickle.dumps(ShellExp()) pickle.loads(shellcode) 应对： 绝不对不可信/未认证数据进行unpickle，使用更安全的JSON 或YAML做序列化。必须使用pickle时在沙盒环境执行。 小心 PyYAML 应对： 使用yaml.safe_load，必要时编写自定义 Loader 做更严格的检查。 对不可信来源的序列化检查后操作。 有的甚至是故意、恶意为之。 应对： 谨慎选择第三方 PyPI 包，尽量少导入 PyPI 包； 利用 https://pyup.io/ 等服务保持检查和更新依赖； 利用 Chef InSpect 落实代码安全规范的检查。 *参考资料：“驹说码事” 《如何import一个不存在的对象》 https://mp.weixin.qq.com/s/0_ivKVDU-nKf3r-c96sqrA 利用 Bandit

解放Python的 表达力，性能和安全性 Thautwarm 目录 CONTENTS 语法和语义扩展 JIT 静态类型 语法和语义扩展 表达力的扩展， 可用性的保留，白来的午餐？ 演示一小部分: 模式匹配, Quick Lambda, Pipe运算 语言决定思维模型 GNU-APL C++ Haskell 说 到 质 数 � 人 们 想 到 什 么 � 语言决定思维模型 54 -> 0.59 3.14 -> 0.93 2.00 -> 0.03 2.60 -> 0.96 如果还有时间，我们用静态类型 来写一个简单的网页生成框架 一个用起来，没有学习曲线的框架。 很安全，因为没有程序员需要付出心 智负担的工作。 THANK YOU thautwarm: - github.com/thautwarm - twshere@outlook.com

Configuration 配置 II. Core 核心 5. Authentication 认证 6. Authorization 授权 6.1. Permissions 权限 7. Realms 8. Session Management 9. Cryptography 密码 III. Web Applications 10. Web 10.1. Configuration 配置 10.2 2. 基于路径的 url 安全 10.3. Default Filters 默认过滤器 10.4. Session Management 10.5. JSP Tag Library IV. Auxiliary Support 辅助支持 11. Caching 缓存 12. Concurrency & Multithreading 并发与多线程 13. Testing 测试 14. Custom 21. Beginner's Webapp Tutorial 初学者web应用教程 22. Application Security With Apache Shiro 用Shiro保护你的应用安全 23. CacheManager 缓存管理 24. Apache Shiro Cryptography Features 加密功能 Apache Shiro 1.2.x Reference Manual

Shiro? Apache Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的，甚至是痛苦的，但它没有必要这样。框架应 该尽可能掩盖复杂的地方，露出一个干净而直观的 API，来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 验证用户来核实他们的身份  对用户执行访问控制，如：  判断用户是否被分配了一个确定的安全角色  判断用户是否被允许做某事  在任何环境下使用 Session API，即使没有 Web 或 EJB 容器。  在身份验证，访问控制期间或在会话的生命周期，对事件作出反应。  聚集一个或多个用户安全数据的数据源，并作为一个单一的复合用户“视图”。  启用单点登录（SSO）功能。 他第三方框架，容器，或应用服务器。当然，该项目的目标是尽可能地融入到这些环境，但它能够在任何环境下立 即可用。 Apache Shiro Features Apache Shiro 是一个拥有许多功能的综合性的程序安全框架。下面的图表展示了 Shiro 的重点，并且这个参考手册也 会与之类似的被组织起来： Shiro 把 Shiro 开发团队称为“应用程序的四大基石”——身份验证，授权，会话管理和加密作为其目标。

29 日 平台介绍 1 FISCO BCOS 区块链 3 2 版本信息 7 3 搭建第一个区块链网络 23 4 开发第一个区块链应用 33 5 关键概念 57 6 网络搭建 65 7 配置管理 135 8 网络维护 181 9 创建和使用账户 209 10 开发和使用智能合约 215 11 多种语言SDK 259 12 区块链功能接口列表 493 13 使用链上信使 533 ii FISCO BCOS Documentation, 发布 v2.9.0 请根据需求选择FISCO BCOS的版本，并确认周边组件与其版本相匹配。 FISCO BCOS 是一个稳定、高效、安全的区块链底层平台，经过多家机构、多个应用，长时间在生产环 境运行的实际检验。 注解: 本技术文档适用于FISCO BCOS 2.x版本, FISCO BCOS 3.x技术文档请参考 FISCO BCOS 1 FISCO BCOS 区块链 标签：FISCO BCOS介绍 关键特性 开发工具 FISCO BCOS是由深圳市金融区块链发展促进会（以下简称“金链盟”）开源工作组牵头研发的金融级、 国产安全可控的区块链底层平台。作为最早开源的国产联盟链底层平台之一，FISCO BCOS于2017年面 向全球开源。 开源六周年至今，FISCO BCOS开源社区在技术创新、应用产业以及开源生态均取得了非凡成绩。

29 日 平台介绍 1 FISCO BCOS 区块链 3 2 版本信息 7 3 搭建第一个区块链网络 23 4 开发第一个区块链应用 33 5 关键概念 57 6 网络搭建 65 7 配置管理 135 8 网络维护 181 9 创建和使用账户 209 10 开发和使用智能合约 215 11 多种语言SDK 259 12 区块链功能接口列表 493 13 使用链上信使 533 ii FISCO BCOS Documentation, 发布 v2.9.0 请根据需求选择FISCO BCOS的版本，并确认周边组件与其版本相匹配。 FISCO BCOS 是一个稳定、高效、安全的区块链底层平台，经过多家机构、多个应用，长时间在生产环 境运行的实际检验。 注解: 本技术文档适用于FISCO BCOS 2.x版本, FISCO BCOS 3.x技术文档请参考 FISCO BCOS 1 FISCO BCOS 区块链 标签：FISCO BCOS介绍 关键特性 开发工具 FISCO BCOS是由深圳市金融区块链发展促进会（以下简称“金链盟”）开源工作组牵头研发的金融级、 国产安全可控的区块链底层平台。作为最早开源的国产联盟链底层平台之一，FISCO BCOS于2017年面 向全球开源。 开源六周年至今，FISCO BCOS开源社区在技术创新、应用产业以及开源生态均取得了非凡成绩。

29 日 平台介绍 1 FISCO BCOS 区块链 3 2 版本信息 7 3 搭建第一个区块链网络 23 4 开发第一个区块链应用 33 5 关键概念 57 6 网络搭建 65 7 配置管理 135 8 网络维护 181 9 创建和使用账户 209 10 开发和使用智能合约 215 11 多种语言SDK 259 12 区块链功能接口列表 493 13 使用链上信使 533 ii FISCO BCOS Documentation, 发布 v2.9.0 请根据需求选择FISCO BCOS的版本，并确认周边组件与其版本相匹配。 FISCO BCOS 是一个稳定、高效、安全的区块链底层平台，经过多家机构、多个应用，长时间在生产环 境运行的实际检验。 注解: 本技术文档适用于FISCO BCOS 2.x版本, FISCO BCOS 3.x技术文档请参考 FISCO BCOS 1 FISCO BCOS 区块链 标签：FISCO BCOS介绍 关键特性 开发工具 FISCO BCOS是由深圳市金融区块链发展促进会（以下简称“金链盟”）开源工作组牵头研发的金融级、 国产安全可控的区块链底层平台。作为最早开源的国产联盟链底层平台之一，FISCO BCOS于2017年面 向全球开源。 开源六周年至今，FISCO BCOS开源社区在技术创新、应用产业以及开源生态均取得了非凡成绩。