安全
文章平均质量分 90
Grassto
致力于用技术提高生活质量
展开
-
前后端数据加密传输(附go语言实现)
这里做的加密传输,仅仅只能添加破解的复杂性,不能真的保证数据不泄露。所以一般的服务在做数据交互时也并不会刻意去做这种前后端的数据加密,一般性的是做服务器的session或者客户端的cookie校验,来保证数据不泄露,不被篡改。但你要是说我做session校验的token在前端泄露了,那这种也是用户自己的问题(进入黑客网站或其他做了鉴权),服务防不了这种,顶多是增加校验复杂性来让其更加繁琐。所以说在类似付款的操作的时候,都会再进行一次校验(输入密码/验证指纹等),来再做一次权限校验。原创 2023-03-12 14:22:24 · 3593 阅读 · 0 评论 -
WEB 安全,浅谈 XSS 攻击(附简单实例)
为什么说一些网站上的弹出广告(一刀999)不要去点,特别是已经登录过的网站,个人信息的泄露等都很有可能是从这里泄露的。由于XSS这种攻击手法是很常见且基础的方式,目前大多数的web框架都对其做过适配了,我们也不需要太过担心这种安全问题,但是还是要知道有这么回事,并能够有相应的处理方案。现在大多数的项目都是前后端分离的,前后端都要对XSS有所了解,在实际开发中需要多考虑下这类安全问题。原创 2022-12-29 22:09:05 · 3013 阅读 · 2 评论 -
HTTPS/TLS/SSL 都是什么,有什么区别?
SSL是基于HTTP之下TCP之上的一个协议层,是基于HTTP标准并对TCP传输数据时进行加密,所以HPPTS是的简称。TSL可以看作是SSL的升级,现在用的基本上都是TSL证书,但是由于历史习惯,还是会叫做SSL证书。HTTPS的工作流程还是比较复杂的,为了安全着想,设计者们也是花了大心思的。SSL根证书的颁发机构CA是公认的证书颁发机构,可信度高。证书是链式的,链越多,则认证时间越长,一般证书三四层链。原创 2022-10-30 15:17:51 · 2126 阅读 · 0 评论 -
浅谈代码数据安全
前段时间的 开源包漏洞为所有人敲响了警钟。企业可以采取一些措施来降低此类风险,例如:代码审查,开源库的敏感信息扫描,构建安全团队进行攻击测试等。自研代码是企业私有的重要数字资产,要全面保障其安全,这里包含了 “代码泄露风险防范” 和 “代码编写风险防范”。缺陷管理成本,开发阶段/测试、发布阶段/交付之后 再进行修复,开发阶段就发现,成本是最低的。企业内部某服务需要对接短信发送平台(这里以阿里云为例),两种方案:代码数据泄露就相当于是淘宝卖家的差评,如果不小心造成了代码数据泄露,轻则降低自己的名声(口碑不好原创 2022-07-05 15:43:45 · 975 阅读 · 0 评论 -
浅谈 CSRF 攻击(附实例,go 语言服务器)
先提一点,做实例的时候遇到的 cookie 带不上的原因,是谷歌提出的 SameSite Cookies 机制导致的,之前都不知道 cookie 还有这么个属性。趣事2011年12月21日,国内最大的开发者社区 CSDN 被黑客在互联网上公布了600万注册用户的数据。更糟糕的是,CSDN 在数据库中明文保存了用户的密码。当然了,这次事故的原理,肯定不是 CSRF。原理CSRF 是 Cross-Site Request Forgery 的缩写,跨站请求伪造。本篇阐述的是基于浏览器 cookie 机制原创 2021-09-23 18:18:56 · 792 阅读 · 0 评论