随笔分类 -  web安全

摘要:时序攻击属于侧信道攻击/旁路攻击(Side Channel Attack),侧信道攻击是指利用信道外的信息,比如加解密的速度/加解密时芯片引脚的电压/密文传输的流量和途径等进行攻击的方式,一个词形容就是“旁敲侧击”。举一个最简单的计时攻击的例子,某个函数负责比较用户输入的密码和存放在系统内密码是否相 阅读全文
posted @ 2022-04-01 20:17 苍青浪 阅读(299) 评论(0) 推荐(0) 编辑
摘要:TLS握手过程 握手简述(以RSA为例): client hello:客户端给出TLS协议版本号,支持的加密算法、随机数Client random、扩展字段 server hello:服务端确认双方可支持的加密算法,并把数字证书下发给客户端。同时也会生成一个随机数Server random 客户端验 阅读全文
posted @ 2021-07-30 11:27 苍青浪 阅读(1289) 评论(0) 推荐(0) 编辑
摘要:现如今的 Web,HTTPS 早已经成为标配,公开的 HTTP 网站已经和 Flash 一样,慢慢在消亡了。 启用 HTTPS 的核心是一个叫做 证书 的东西。不知道大家是否有留意,前几年上 12306 的时候,浏览器都会提示「您的链接不是私密链接」,这其实就是因为 12306 的证书有问题。如果点 阅读全文
posted @ 2021-04-12 09:41 苍青浪 阅读(1004) 评论(0) 推荐(0) 编辑
摘要:0X00 前言 在上一篇文章 Linux反弹shell(一)文件描述符与重定向,我们已经讨论过了反弹shell中最核心也是相对较难理解的部分,那么接下来我们就可以正式借反弹shell的实例分析回顾前一篇文章讲的知识,并且也加深对反弹shell的理解吧。 文章转自https://xz.aliyun.c 阅读全文
posted @ 2020-12-11 09:34 苍青浪 阅读(381) 评论(0) 推荐(1) 编辑
摘要:JavaScript是一门非常灵活的语言,我感觉在某些方面可能比PHP更加灵活。所以,除了传统的SQL注入、代码执行等注入型漏洞外,也会有一些独有的安全问题,比如今天要说这个prototype污染。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义 阅读全文
posted @ 2020-12-07 21:05 苍青浪 阅读(441) 评论(0) 推荐(0) 编辑
摘要:CDN劫持的表现形式之前总说https的安全的。如果你遇到这么一个场景:网站是https的,cdn也是https,但是用户还是看到广告,或者直接唤起其他app等更加恶心的操作。 这个时候你可以考虑下自己是否遭到了CDN劫持。 劫持方非常狡猾,每天每个用户只劫持一次,或者只会在固定时间段劫持,非常难以 阅读全文
posted @ 2020-06-30 09:49 苍青浪 阅读(665) 评论(0) 推荐(0) 编辑
摘要:我看了CloudFlare的说明(这里和这里),突然意识到这是绝好的例子,可以用来说明SSL/TLS协议的运行机制。它配有插图,很容易看懂。 下面,我就用这些图片作为例子,配合我半年前写的《SSL/TLS协议运行机制的概述》,来解释SSL协议。 一、SSL协议的握手过程 开始加密通信之前,客户端和服 阅读全文
posted @ 2020-03-20 13:30 苍青浪 阅读(423) 评论(0) 推荐(0) 编辑
摘要:对于一般的开发人员来说,很少需要对安全领域内的基础技术进行深入的研究,但是鉴于日常系统开发中遇到的各种安全相关的问题,熟悉和了解这些安全技术的基本原理和使用场景还是非常必要的。本文将对非对称加密、数字摘要、数字签名、数字证书、SSL、HTTPS等这些安全领域内的技术进行一番简要的介绍,解释他们之间的 阅读全文
posted @ 2019-05-21 17:16 苍青浪 阅读(2787) 评论(0) 推荐(0) 编辑
摘要:一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 阅读全文
posted @ 2019-05-08 09:53 苍青浪 阅读(388) 评论(0) 推荐(0) 编辑
摘要:XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第 阅读全文
posted @ 2019-01-02 12:01 苍青浪 阅读(297) 评论(0) 推荐(0) 编辑
摘要:1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码 阅读全文
posted @ 2019-01-02 11:07 苍青浪 阅读(3148) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示
哥伦布
03:14发布
哥伦布
03:14发布
7°
多云
西南风
3级
空气质量
相对湿度
64%
今天
多云
-1°/10°
周三
小雨
2°/12°
周四
中雨
2°/14°