啊浪的博客

简介1、HTTPS是使用TLS/SSL加密的HTTP协议。2、HTTP采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险。而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能。3、TLS的基本工作方式是，客户端使用非对称加密与服务器通信，实现身份验证并协商对称密钥，之后采用协商密钥对信息以及信息摘要进行对称加密。4、解决身份验证问题的关键是确保获取的服务器公钥是合法的，能够验证服务器...

建立安全通道遇到的问题钓鱼、木马（神都救不了你，赶紧改密码吧）脱裤、撞库（祈祷别人不是存明文密码吧）暴力破解（如彩虹表、简单密码暴力破解）重放、伪造登录窃听（伪造服务器、伪造客户端、中间人攻击）前向安全如何设计一个安全的登录过程第一阶段（裸奔）数据库直接存储密码、请求包、回包均为明文且带上了密码和key。解决不了上面的任务问题，登录设计的所有大忌均犯了。第二阶段（简单加密）请求包和回包使用密...

XSS跨域攻击XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS

知识背景业务客户端跟后端服务的协议为自定义的二进制协议，其中协议头中有一个2子节的字段，表示该请求包对应的功能（如0x825是调度功能的请求包），也称为命令字。TLV是一种常用的用于通信的结构体格式。T表示tag（类型），L表示length（value的字节长度），V表示value。Kerberos鉴权体系，基于票据的鉴权服务，避免密码相关数据直接过多地暴露在网络上。使用标准的密码...

简介Kerberos是不依赖信道安全的，但需要有一个公认可信赖的第三方的网络认证协议。可用于防止窃听、防止重放、保护数据完整性等场合。它在很多登录鉴权场景上被使用。关键字Authentication Server 认证服务器（AS）Ticket Granting Server 票据授权服务器（TGS）大大票：客户端加密组装的包含自身身份信息的票据，一般是用户密码的...