随笔分类 -  软件安全

摘要:中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 中间人攻击(Man-in-the-Middle Attack, 阅读全文
posted @ 2019-02-19 17:29 zzfx 阅读(630) 评论(0) 推荐(0) 编辑
摘要:重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式防止信息泄露, 阅读全文
posted @ 2017-12-27 18:31 zzfx 阅读(2135) 评论(0) 推荐(0) 编辑
摘要:基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与 SSL 配合使用。 摘要认证是另一种 HTTP 认证协议,它与基本认证兼容,但却更为安全。摘要认证试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改下 阅读全文
posted @ 2017-12-27 18:28 zzfx 阅读(248) 评论(0) 推荐(0) 编辑
摘要:基本概念 对于许多人来说,都知道的是,cookie是存储在客户端的,可以用来放需要长期使用的内容,例如用户密码、用户账户等等,服务器是可以获取到cookie的内容的;而session则是存储在服务器端,通过唯一的session_id来区别用户,用于保存用户的登录状态和请求等,客户是不能获取到其内容的 阅读全文
posted @ 2017-12-27 18:10 zzfx 阅读(209) 评论(0) 推荐(0) 编辑
摘要:token 登录握手与身份验证; cookie、session 记录会话状态 兼有 token的功能; cookie session 功能更强大。 所有这些都是为了便捷和密码安全考虑。 阅读全文
posted @ 2017-12-27 17:38 zzfx 阅读(157) 评论(0) 推荐(0) 编辑
摘要:token的作用:认证、授权; 生成:随机码、时间戳、用户 设备 合成; 验证:是否存在、合成验证; 管理:有效期(服务器存储时间or cookie存储过期时间)、展期。 token生成:或者和用户信息一起传输、或者token本身自带用户信息和其他信息。 阅读全文
posted @ 2017-12-27 17:32 zzfx 阅读(282) 评论(0) 推荐(0) 编辑
摘要:服务器端不存token,而存设备ID、登录时时间戳、userID等。 服务器端使用存储信息生成token,与会话token比较完成鉴权。 在做接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对token,cookie,session的区别还是一知半解。为此我查阅大量的资料做了 阅读全文
posted @ 2017-12-27 11:37 zzfx 阅读(482) 评论(0) 推荐(0) 编辑
摘要:加盐-混淆、混入 阅读全文
posted @ 2017-12-27 10:18 zzfx 阅读(284) 评论(0) 推荐(0) 编辑
摘要:基于挑战/应答属于密码鉴别的一种。特定是密码不在网络上传输。该认证机制中认证者(服务器)每次向被认证者(客户端)发送一个不同的”挑战“字串,客户端收到这个”挑战“字串后,按照双方事先协商好的方法应答。挑战相当于咨询,应答相当于回答。 (1)客户端向服务器端发错请求,要求进行身份验证。 (2)服务器从 阅读全文
posted @ 2017-12-26 18:26 zzfx 阅读(6674) 评论(0) 推荐(1) 编辑
摘要:In computer security, challenge–response authentication is a family of protocols in which one party presents a question ("challenge") and another part 阅读全文
posted @ 2017-12-26 18:21 zzfx 阅读(3462) 评论(0) 推荐(0) 编辑
摘要:主要工作: 1)算法协商; 2)密钥交换; 3)身份认证; 4)数据通信; 1、2、3主要使用握手协议; 4使用记录协议。 SSL协议可分为两层:记录协议、握手协议 SSL Record Protocol:建立在可靠的传输协议如TCP之上为高层协议提供数据封装、压缩、加密等基本功能 SSL Hand 阅读全文
posted @ 2017-12-26 17:46 zzfx 阅读(206) 评论(0) 推荐(0) 编辑
摘要:以前一直分不清 authentication 和 authorization,其实很简单,举个例子来说: 在 computer science 领域再举个例子: 你要登陆论坛,输入用户名张三,密码1234,密码正确,证明你张三确实是张三,这就是 authentication;再一check用户张三是 阅读全文
posted @ 2017-12-26 16:34 zzfx 阅读(476) 评论(0) 推荐(0) 编辑
摘要:在看ldap的时候发现了两个关键词, authentication验证 和 authorization授权 http://www.cyberciti.biz/faq/authentication-vs-authorization/#comment-724439 这篇文章讲得很好, authentif 阅读全文
posted @ 2017-12-26 16:28 zzfx 阅读(889) 评论(0) 推荐(0) 编辑
摘要:iOS 中可用的受信任根证书列表 iOS 受信任证书存储区中包含随 iOS 一并预装的受信任根证书。 关于信任和证书 以下所列的各个 iOS 受信任证书存储区均包含三类证书: “可信”的证书用于建立信任链,以验证由受信任根证书签署的其他证书;例如,与网页服务器建立安全连接。IT 管理员在创建 iOS 阅读全文
posted @ 2017-12-18 19:51 zzfx 阅读(1278) 评论(0) 推荐(0) 编辑
摘要:iOS 受信任证书存储区包含随 iOS 预安装的可信根证书。 iOS 受信任证书存储区包含随 iOS 预安装的可信根证书。 https://support.apple.com/zh-cn/HT205205 关于信任和证书 iOS 9 受信任证书存储区包含三类证书: 可信的根证书用于建立信任链,以验证 阅读全文
posted @ 2017-12-18 19:50 zzfx 阅读(948) 评论(0) 推荐(0) 编辑
摘要:由于苹果规定2017年1月1日以后,所有APP都要使用HTTPS进行网络请求,否则无法上架,因此研究了一下在iOS中使用HTTPS请求的实现。相信大家对HTTPS都或多或少有些了解,这里我就不再介绍了,主要功能就是将传输的报文进行加密,提高安全性。 1、证书准备 证书分为两种,一种是花钱向认证的机构 阅读全文
posted @ 2017-12-16 11:04 zzfx 阅读(2127) 评论(0) 推荐(0) 编辑
摘要:Address space layout randomization (ASLR) is a computer security technique involved in preventing exploitation of memory corruption vulnerabilities. I 阅读全文
posted @ 2017-12-05 16:59 zzfx 阅读(793) 评论(0) 推荐(0) 编辑
摘要:ASLR: Address space layout randomization:地址空间布局随机化,是参与保护缓冲区溢出问题的一个计算机安全技术。是为了防止攻击者在内存中能够可靠地对跳转到特定利用函数。ASLR包括随机排列程序的关键数据区域的位置,包括可执行的部分、堆、栈及共享库的位置。历史:在1 阅读全文
posted @ 2017-12-05 16:57 zzfx 阅读(2973) 评论(0) 推荐(0) 编辑