网络安全
文章平均质量分 84
开发中遇到的安全问题
七海健人
打工战士,闲暇之余把自己的学习和总结记录下,也希望写的东西能帮助到你
展开
-
学习笔记——RSA加密&签名
前后端请求,内容涉及用户信息时一般会要求对数据进行加密;对于支付系统的接口,为了保证参数不被篡改(如订单金额、支付单号等),需要对下单参数进行签名;本篇介绍RSA相关的知识以及应用场景,包括:对称加密和非对称加密、RSA原理简介、加密和签名的区别以及RSA加密算法的代码示例;...原创 2022-08-12 19:59:41 · 2407 阅读 · 0 评论 -
编码技巧——HTTP接口安全防范CSRF攻击
上一篇《编码技巧——HTTP接口安全防范CORS攻击》介绍了同源策略、跨域、CORS,本篇介绍下CRSF漏洞及常用服务端解决方案;思考一个问题:如果你说 同源策略SOP 就是“禁止跨域请求”,这也不完全准确,因为本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。因此——这就会引起CSRF漏洞,即被恶意网站模拟的、带上了cookies(虽然由于SOP策略读不到cookies信息)的、非用户预期的请求,已经打到了服务端的接口上!原创 2022-04-19 09:00:51 · 3454 阅读 · 1 评论 -
编码技巧——HTTP接口安全之CORS
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......原创 2022-04-17 18:53:26 · 3029 阅读 · 0 评论 -
编码技巧——验签&加密算法工具及支付下单签名
开发中常用的一些加密工具类,会在MD5验证签名、MD5计算、AES加解密、RSA加解密,场景可能是输入参数加密、参数签名验签防止篡改、支付业务的参数加密;本篇不讲述算法的原理,仅将开发中需要的常用加密算法代码罗列;原创 2022-04-15 11:31:00 · 771 阅读 · 0 评论