网络安全基础
关注
分享
扫一扫
文章平均质量分 58
kekefen01
这个作者很懒,什么都没留下…
展开
-
安全的cookie和token机制
单独使用cookie或者token都是不够安全的。单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。单独使用cookie做验证:会遭遇csrf攻击正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。...原创 2020-12-16 14:31:35 · 1455 阅读 · 0 评论 -
利用椭圆曲线进行加密通信
一个利用椭圆曲线进行加密通信的过程:1、用户A选定一条椭圆曲线Ep(a,b),并取椭圆曲线上一点,作为基点G。 2、用户A选择一个私有密钥(随机数)k,并通过某种快速算法生成公开密钥K=kG。 3、用户A将Ep(a,b)和点K,G传给用户B。 4、用户B接到信息后 ,将待传输的明文编码到Ep(a,b)上一点M,并产生一个随机整数r(r<n)。 5、用户B计算点P1=M+rK;P2=rG。 6、用户B将P1、P2传给用户A。 7、用户A接到信息后,计算P1-kP2,结果就是点M原创 2020-12-14 01:16:56 · 905 阅读 · 1 评论 -
一图解释https流程
高超的ppt办公技术原创 2019-10-20 21:52:26 · 183 阅读 · 1 评论 -
密码学笔记
《网络安全基础:应用与标准》第五版。随手笔记对称加密:加密和解密的密钥相同DES/3DESAES讲解视频:https://www.bilibili.com/video/av46440862?from=search&seid=7085284325896270887RC4:分组密码工作模式:ECB、CBC等kerberos:仅依赖对称加密机制假如你要去社区事务中心去办理居住证,...原创 2019-05-01 15:16:35 · 414 阅读 · 0 评论 -
文件上传及利用upload-libs通关总结
一、文件上传简介“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。文件上传后导致的常见安全问题一般有:1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。2)上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类似方式控...原创 2019-05-19 19:42:09 · 3559 阅读 · 1 评论 -
php反序列化总结
反序列化漏洞黑盒很难发现,即使发现了也好难利用。不过危害很大。序列化使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。序列化结果string(5) "i:34;" //numberstring(13) "s:6:"uus...原创 2019-05-25 23:21:56 · 293 阅读 · 0 评论 -
从DVWA的一次漏洞修复说起
之前看了两天WAHH,看各种漏洞原理,但是渗透水平还是不知道怎么提高。干脆从代码审计开始,先从DVWA看起,看看有没有什么其它漏洞。先看了主体架构,然后看各个子功能模块,在view_help.php中扫到如下代码:$id = $_GET[ 'id' ];$security = $_GET[ 'security' ];ob_start();eval( '?>' . fi...原创 2019-05-17 00:37:13 · 328 阅读 · 1 评论 -
JSONP跨域问题
jsonp的原理很简单,就是动态的创造script标签,然后利用script的src不受同源策略约束来跨域获取数据。dvwa bypass CSP 的high级别就使用了JSONP页面中存在的js文件:function clickButton() { var s = document.createElement("script"); s.src = "source/json...原创 2019-05-23 08:45:55 · 123 阅读 · 0 评论 -
google发现一个后台越权
搜索:inurl:admin/*.asp 修改 删除可以直接在后台删改数据。原创 2019-06-02 05:03:08 · 218 阅读 · 1 评论