随笔分类 -  网络安全技术

关于网络安全技术的学习和应用
摘要:chrome 浏览器自保留端口、安全端口 chrome 浏览器自保留端口如下: 1 tcpmux 7 echo 9 discard 11 systat 13 daytime 15 netstat 17 qotd 19 chargen 20 ftp data 21 ftp access 22 ssh 阅读全文
posted @ 2020-06-29 13:55 整合侠 阅读(985) 评论(0) 推荐(0) 编辑
摘要:(五)浏览器缓存禁用—Cache-Control:no-cache、Pragma:no-cache&Expires:0 Cache-Control: no-cache:这个很容易让人产生误解,使人误以为是响应不被缓存。实际上Cache-Control: no-cache是会被缓存的,只不过每次在向客 阅读全文
posted @ 2020-04-03 16:36 整合侠 阅读(8930) 评论(1) 推荐(1) 编辑
摘要:(四)内容安全策略CSP—Content-Security-Policy 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层, 阅读全文
posted @ 2020-04-03 16:32 整合侠 阅读(1455) 评论(0) 推荐(0) 编辑
摘要:(三)XSS 攻击防护——X-XSS-Protection X-XSS-Protection 顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置: 0:禁用XSS保护; 1:启用X 阅读全文
posted @ 2020-04-03 16:24 整合侠 阅读(18357) 评论(0) 推荐(0) 编辑
摘要:(二)内容嗅探攻击防护—X-Content-Type-Options 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源 阅读全文
posted @ 2020-04-03 16:22 整合侠 阅读(5271) 评论(0) 推荐(1) 编辑
摘要:Security Headers--安全头系列 1)CSP 内容安全策略——开启后,请求头部增加 Content-Security-Policy:object-src 'self' 设置 2)XSS 攻击防护——开启后,请求头部增加 X-XSS-Protection:1; mode=block 设置 阅读全文
posted @ 2020-04-03 16:17 整合侠 阅读(2328) 评论(0) 推荐(0) 编辑
摘要:(一)安全防护:X-Frame-Options(点击劫持) 漏洞描述:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可 阅读全文
posted @ 2020-04-03 16:11 整合侠 阅读(2539) 评论(0) 推荐(1) 编辑
摘要:http statusCode(状态码)请求URL返回状态值的含义 请求URL浏览器返回状态码的含义(http statusCode): 201-206都表示服务器成功处理了请求的状态代码,说明网页可以正常访问。 200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。 201( 阅读全文
posted @ 2019-06-17 11:19 整合侠 阅读(3273) 评论(0) 推荐(0) 编辑
摘要:破解登录手机验证码思路 一、思路 1、破解验证过程,然后让它不走到发送验证码这一步,直接跳到验证成功后的步骤;2、破解验证过程,看看能否自己写出获取验证码的算法;3、破解验证函数,同1,让它对于任何验证码都认为是合法的,直接跳到验证通过后的部分。 监听验证成功后从服务端发回来的数据包,然后下次验证时 阅读全文
posted @ 2018-08-30 16:58 整合侠 阅读(4481) 评论(0) 推荐(0) 编辑
摘要:防止CSRF的攻击—Origin和Referer 为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。 一、隐私方面: Or 阅读全文
posted @ 2018-04-24 17:02 整合侠 阅读(2891) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示