摘要:
分布式代码管理网站Github从2015年1月5日将停止对RC4的支持,RC4作为一种老旧的验证和加密算法易于受到黑客攻击。这意味着,用户在使用Windows XP系统上的IE浏览器时将无法进入github.com网站。 阅读全文
摘要:
远程服务接受使用TLS 1.0加密的连接。TLS 1.0具有许多密码设计缺陷。为了符合支付卡行业数据安全标准(PCI DSS)并符合行业最佳实践,PCI标准规定TLS1 .0安全通信于2018年6月30日不再生效。自2020年3月31日起,尚未启用TLS 1.2及更高版本的端点将不再与主流的Web浏览器和主要的供应商一起正常运行。 阅读全文
摘要:
TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法。 启用TRACE方法存在如下风险: 1、恶意攻击者可以通过TRACE方法返回的信息了解到网站前端的某些信息,如缓存服务器等,从而为进一步的攻击提供便利。 2、恶意攻击者可以通过TRACE方法进行XSS攻击。 3、即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,但是通过TRACE 方法恶意攻击者还是可以绕过这个限制读取到cookie信息。 阅读全文
摘要:
迄今为止,SSL/TLS已经阻止了基于SSL的无数次的网络攻击。1995年公开发布了SSLv2.0,该方案于2011年被弃用。1996年发布了SSLv3.0,被大规模应用,于2015年弃用。这之后经过几年发展,于1999年被IETF纳入标准化,改名叫TLS1.0,和SSLv3.0相比几乎没有做什么改动。 阅读全文
摘要:
Etag是 Entity tag的缩写,可以理解为“被请求变量的实体值”,Etag是服务端的一个资源的标识,在 HTTP 响应头中将其传送到客户端。所谓的服务端资源可以是一个Web页面,也可以是JSON或XML等。服务器单独负责判断记号是什么及其含义,并在HTTP响应头中将其传送到客户端。 阅读全文