摘要:
转自 http://baike.1688.com/doc/view-d36110860.html 电子商务支付信息流动典型结构如图1所示。在图中,信任第三方是CA认证中心。商家和客户都必须到CA得到自己的证书,然后通过CA认证。很明显,各个部分信息传递,必须要经过加密处理;信息来源和目的,必须经过认在电子商务支付系统中,消费者和商家面临的威胁有: 虚假定单:假冒者以客户名义订购商品,而要求客户... 阅读全文
摘要:
转自testerhomehttps://testerhome.com/topics/1698 序章:Android 安全测试,跟 pc 安全测试一样分为 客户端服务端服务端的安全测试其实很多都跟 pc 端一样,这里不多阐述。 对于应用安全性,从大的方面来说可以分为 2 类,检查和扫描。 检查包含较多,如: 文件权限apk运行权限apk权限日志报文扫描包含较少,如 端口扫描病毒扫描木马扫描广告查杀说... 阅读全文
摘要:
我的一些个人总结1.web 攻击 最主要的攻击方式,另起一文详细说明; 其实攻击针对的主要还是服务端,毕竟拿到客户端再多的数据用户也不大;2.使用不安全的接口 很多接口对外开放权限-导致不需要校验既可以进行查询(爬虫抓数据),甚至是update、delete操作; 对来访的IP做校验,加ip/域名黑白名单。对外部环境设置ip黑名单,对内部环境设置ip/域名白名单; 使... 阅读全文
摘要:
http://www.guokr.com/blog/148613/在《HTTPS那些事(二)SSL证书》我描述了使用SSL证书时一些需要注意的安全问题,在这一篇文章里面我再演示一下针对HTTPS攻击的一些实例,通过这些实例能更安全的使用HTTPS。知己知彼百战不殆。先说一下我的测试环境,WIFI局域网,两台计算机,其中一台是Windows 7用于发起攻击。另一台测试机用于测试攻击,配置为Windo... 阅读全文
摘要:
http://www.guokr.com/post/114121/楔子谣言粉碎机前些日子发布的《用公共WiFi上网会危害银行账户安全吗?》,文中介绍了在使用HTTPS进行网络加密传输的一些情况,从回复来看,争议还是有的。随着网络越来越普及,应用越来越广泛,一些网络安全问题也会越来越引起网民的关注,在这里和大家一起聊聊TLS/SSL也就是我们常说的HTTPS,从原理到实际应用看清它到底是怎么一回事,... 阅读全文
摘要:
http://www.guokr.com/post/116169/此帖子内容转载自我的日志。原文链接:http://www.guokr.com/blog/116169/从第一部分HTTPS原理中,我们可以了解到HTTPS核心的一个部分是数据传输之前的握手,握手过程中确定了数据加密的密码。在握手过程中,网站会向浏览器发送SSL证书,SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证... 阅读全文
摘要:
分析工具:抓包工具:Wireshark(最常用)、httpwatch、tcpdumpBurp Suite:常用的http分析工具,有很邪恶的用法;Fiddler:主要监视http和https,用得不多;漏洞扫描工具:appscan:业内最常用的一个工具,资料很多 http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.htmlAcunetix:... 阅读全文
摘要:
转,原出处已遗失……常见用于保证安全的加密或编码算法如下:1、常用密钥算法密钥算法用来对敏感数据、摘要、签名等信息进行加密,常用的密钥算法包括:DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;3DES(Triple DES):是基于DES... 阅读全文