安全
puffingo
每个人都是这个世界的路人甲
展开
-
CSRF 背景与介绍
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF转载 2017-07-04 14:25:10 · 424 阅读 · 0 评论 -
BurpSuite中的安全测试插件推荐
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。无论是收费版还是免费版,Burp Suite 这个软件都提供了一定数量的插件,这些插件极大的方便了我们平时的渗透工作。在BAPP Store中有很多开发好的转载 2017-07-13 16:15:18 · 2885 阅读 · 0 评论 -
CSRF攻击与防御(写得非常好)
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如转载 2017-07-13 16:44:33 · 483 阅读 · 0 评论 -
web安全之token和CSRF攻击
上文我转载了两篇关于ThinkPHP令牌验证的文章(ThinkPHP中的create方法与自动令牌验证)。其中提及到了 token ,这里针对 token 的作用,转载了另外两篇文章。(web安全之token Web安全之CSRF攻击)web安全之token参考:http://blog.csdn.NET/sum_rain/article/details/37085转载 2017-07-14 12:20:04 · 811 阅读 · 0 评论 -
jd.com ajax post的登录操作
jd.com ajax post的登录操作++++++++++++++++++++++++++url中的参数:ReturnUrl https://www.jd.com/r 0.9139367432000042uuid b1407aba-031c-4148-a9d5-0ae5bec89b8bversion 2015=====================原创 2017-07-10 11:51:07 · 1590 阅读 · 0 评论 -
安全篇-AES/RSA加密机制
在服务器与终端设备进行HTTP通讯时,常常会被网络抓包、反编译(Android APK反编译工具)等技术得到HTTP通讯接口地址和参数。为了确保信息的安全,我们采用AES+RSA组合的方式进行接口参数加密和解密。1.关于RSA加密机制:公钥用于对数据进行加密,私钥对数据进行解密,两者不可逆。公钥和私钥是同时生成的,一一对应。比如:A拥有公钥,B拥有公钥和私钥。A将数据通过公钥进行加密后,发送密转载 2017-07-10 13:33:55 · 451 阅读 · 0 评论