随笔分类 - 网络安全技术
关于网络安全技术的学习和应用
摘要:chrome 浏览器自保留端口、安全端口 chrome 浏览器自保留端口如下: 1 tcpmux 7 echo 9 discard 11 systat 13 daytime 15 netstat 17 qotd 19 chargen 20 ftp data 21 ftp access 22 ssh
阅读全文
摘要:(五)浏览器缓存禁用—Cache-Control:no-cache、Pragma:no-cache&Expires:0 Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客
阅读全文
摘要:(四)内容安全策略CSP—Content-Security-Policy 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,
阅读全文
摘要:(三)XSS 攻击防护——X-XSS-Protection X-XSS-Protection 顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置: 0:禁用XSS保护; 1:启用X
阅读全文
摘要:(二)内容嗅探攻击防护—X-Content-Type-Options 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源
阅读全文
摘要:Security Headers--安全头系列 1)CSP 内容安全策略——开启后,请求头部增加 Content-Security-Policy:object-src 'self' 设置 2)XSS 攻击防护——开启后,请求头部增加 X-XSS-Protection:1; mode=block 设置
阅读全文
摘要:(一)安全防护:X-Frame-Options(点击劫持) 漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可
阅读全文
摘要:http statusCode(状态码)请求URL返回状态值的含义 请求URL浏览器返回状态码的含义(http statusCode): 201-206都表示服务器成功处理了请求的状态代码,说明网页可以正常访问。 200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。 201(
阅读全文
摘要:破解登录手机验证码思路 一、思路 1、破解验证过程,然后让它不走到发送验证码这一步,直接跳到验证成功后的步骤;2、破解验证过程,看看能否自己写出获取验证码的算法;3、破解验证函数,同1,让它对于任何验证码都认为是合法的,直接跳到验证通过后的部分。 监听验证成功后从服务端发回来的数据包,然后下次验证时
阅读全文
摘要:防止CSRF的攻击—Origin和Referer 为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。 一、隐私方面: Or
阅读全文