安全
柳清风09
这个作者很懒,什么都没留下…
展开
-
通过Easyrsa和Openssl制作自签名证书
当前https被广泛运用于互联网环境,就连百度都改成https的请求了。在https中很重要的一个步骤就是证书验证,证书验证报错单项验证和双向验证,其实说白了就是服务端和客户端相互验证自己的身份,确定对方的合法性,但是双方无论怎样验证都无法避免证书被截获修改的风险,所以还需要一个第三方机构-CA证书机构,譬如最近和google撕逼的塞门铁托,就是著名的CA机构,当然企业为了省钱,完成可以自己给自己的原创 2017-04-08 17:12:35 · 32442 阅读 · 0 评论 -
web安全之基本概览(一)
网络安全的概念很多,我这里借鉴一下网上的思维导图。 这里是网络安全绪论的思维导图 互联网安全的核心问题是数据安全的问题,其次是解决信任问题,那些流量是安全的,那些是需要拒绝的。 威胁分析STRIDE,spoofing伪装,tampering篡改,repudiation抵赖,informationdisclousure信息泄露,denial of service拒绝服务,elevation原创 2017-10-23 15:45:04 · 36738 阅读 · 0 评论 -
web安全之浏览器安全(二)
web上网通过浏览器,浏览器是最大入口,这个毋庸置疑。那么怎样做到这个客户端的安全呢?同源策略这个如果是个程序员一定不会陌生,这个是浏览器最核心的也是最基本的安全功能,可以说web就是构建在同源策略的基础之上,浏览器只是针对同源策略的一种实现。 试想如果没有同源策略,A网站的js脚步可以在B网站未曾加载的时候任意修改B网站的内容,这是多么令人担忧,浏览器提出了一个origin(源)的概念,来自不同原创 2017-10-23 16:15:14 · 37306 阅读 · 0 评论 -
web安全之xss(三)
xxs是cross site script,那么简写应该是CSS,对,就是CSS,但这个名字已经被格式语言CSS占用了,无奈只能叫XSS,个人觉得这个名字更神秘毕竟有X嘛! xxs攻击通常指,黑客通过html注入篡改了网页。从而在用户浏览网页时,控制用户浏览器的一种攻击。 xss根据效果可以分为反射型反射型,只是简单把用户输入的数据反射给浏览器,也就是黑客往往需要诱使用户点击一个恶意的链接,才能原创 2017-10-23 17:07:22 · 36301 阅读 · 0 评论