web安全-安全服务中心
AdleyTales
这个作者很懒,什么都没留下…
展开
-
Cookie 防篡改机制
一、为什么Cookie需要防篡改为什么要做Cookie防篡改,一个重要原因是 Cookie中存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求,HTTP请求头会带上Cookie,Cookie里面就包含有SessionID。 后端服务根据SessionID,去获取当前的会话信息。如果会话信息存在,则代表该请求的用户已经登陆。 服...原创 2018-06-19 15:12:31 · 17208 阅读 · 1 评论 -
Cookie防劫持的处理
Cookie与sessionHTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包含了浏览器客户端的用户凭证, 相对较小. Session则维护在服务器, 用于维护相对较大的用户信息.用通俗的语言, Cookie是钥匙, Session是锁芯.Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁...原创 2018-06-19 15:29:56 · 16327 阅读 · 0 评论 -
接口签名及防重放详细开发文档(接口安全)
接口签名及防重放详细开发文档公共参数 参数名称 是否必填 参数描述 nonce 是 唯一值,用来标识接口请求的唯一性,例如使用UUID值,示例:40A6A065-4DB7-4999-8F7F-F6D051D9B02C timestamp 是 时间戳,从1970年1月1日据当前时间的毫秒数 示例:1529373808 vId ...原创 2018-06-27 15:45:26 · 13321 阅读 · 0 评论 -
nodejs aes 加解密
'use strict';const crypto = require('crypto');/** * AES加密的配置 * 1.密钥 * 2.偏移向量 * 3.算法模式CBC * 4.补全值 */var AES_conf = { key: getSecretKey(), //密钥 iv: '1012132405963708', //偏移向量 p...原创 2018-08-16 17:24:35 · 21830 阅读 · 0 评论 -
web安全之 xss攻击
xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。xss一般分为两种类型,持久化的xss和非持久化的xss。1 持久化xss下面这个例子演示了攻击者如何通过注入恶意代码去盗...原创 2018-12-22 13:36:12 · 1863 阅读 · 0 评论 -
web安全之csrf攻击
csrf攻击的全称是Cross-Site Request Forgery攻击,简单来说是利用当前用户的登录态冒充该用户去做一些对受害者不利的事情。简单的例子假设Alice想通过ban.com网站给bob转100块钱,当然了,bank.com是有安全漏洞的,不能防止csrf攻击。Maria,一个攻击者,想通过一些不正当手段让Alice转账给她,下面是她的一些做法:构造攻击的链接或脚本...原创 2018-12-22 13:41:45 · 1813 阅读 · 0 评论 -
RSA加密、解密、签名、验签的原理及方法
一、RSA加密简介RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。二、RSA加密、签名区别加密和签名都是为了安全性考虑,但...原创 2019-07-01 10:22:50 · 1124 阅读 · 2 评论 -
nodejs RSA非对称加密解密
const NodeRSA = require('node-rsa');const _pubKey = `-----BEGIN PUBLIC KEY-----MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAICZifH6EG/qZ4tNYdkTUI/+TMpMr/3rap6NM5Zqo0pEaTQWRVarR3njktB3ssfydQZESo+E0d3AIffhXrf1...原创 2019-07-01 10:24:47 · 2480 阅读 · 0 评论 -
nodejs RSA 与 jsencrypt 实现前端加密后端解密功能(非对称)
nodejs RSA 与 jsencrypt 实现前端加密 后端解密功能1. 前端javascript'use strict';const _pubKey = `-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCK3siV2MKl7ADFMajEsbc/ZrSTfo9h37c6+m0cUHOTqGR4V+...原创 2019-07-01 11:21:40 · 8223 阅读 · 0 评论