随笔分类 - 安全
摘要:现在请跟我做:在您的浏览器的地址栏中输入www.yhd.com并敲击回车。在网站内容全部加载完毕后,按F12打开浏览器的调试窗口。当切换到Sources页时,您会发现您当前所看到的一号店的页面是从多个不同的域中得到的: 或许有些读者会感到奇怪:在之前自己 写网页的时候就曾经尝试访问非当前域中的...
阅读全文
摘要:在之前的一篇文章《放好你的密码 - 从芝麻金融被攻破说起》中,一位读者在评论中提出了“如果整个过程速度比较慢登陆会有问题”这样一条评论。虽然说我对文章的正确性很有把握,但也仍需要仔细思考是否自己哪里没有说清楚。在这个思考过程中,我想起了一个非常值得一说的话题,那就是负载平衡。 在那篇文章中我们...
阅读全文
摘要:昨天午休时,新浪上的一条新闻引起了我的注意。新闻中说,一家叫芝麻金融的P2P网站数据库泄露,并且数据库中所记录的密码仅经过一次哈希。虽然说我不是攻破它的白帽,更没有仔细地研究这些泄露的数据,但如果报告所言不虚,其中所提及的各个问题实际上非常严重。因此我觉得有必要对如何在系统中保存密码以及为什么要...
阅读全文
摘要:最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。 在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。 而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。XSS示例 在深入了解XSS的各个方面之前,让我们首先了解XSS攻击到底是怎样完成的。 就以一个博客应用为例。其常常需要允许读者对博主的文章进行评论。在输入评论的编辑栏中,我们可以输入对该文章的评论,也可以输入以下HTML标记:1 ...
阅读全文
