Fiddler介绍 Fiddler是最主流的抓包工具,位于客户端和服务器端的HTTP代理 作用: 监控浏览器所以HTTP/HTTPS流量 查看、分析请求内容 伪造客户端请求和服务器响应 测试网站性能 解密HTTPS的web会话 全局、局部断点功能 第三方插件 代理:就是在客户端和服务器之间设置一道关 ...
分类:
其他好文 时间:
2020-04-20 23:29:55
阅读次数:
63
Java基础教程:HTTPS HTTPS HTTPS解决什么问题 一个简单的回答可能会是 HTTP 它不安全。 由于 HTTP 天生明文传输的特性,在 HTTP 的传输过程中,任何人都有可能从中截获、修改或者伪造请求发送,所以可以认为 HTTP 是不安全的; 在 HTTP 的传输过程中不会验证通信方 ...
分类:
编程语言 时间:
2020-04-20 14:14:00
阅读次数:
76
CSRF CSRF(Cross-site request forgery):跨站请求伪造。 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没 ...
分类:
其他好文 时间:
2020-04-18 22:31:41
阅读次数:
63
谷歌浏览器插件设置域名cookie的方法 下个editthiscookie 然后安装就可以了 然后 点击右上角 输入网址 然后设置就可以了 把host onloy去掉 还能写其他域名 小知识 理论上php不可以跨域设置cookie;php设置cookie流程:返回的信息zhidao携带信息,然后靠浏 ...
分类:
其他好文 时间:
2020-04-18 11:54:12
阅读次数:
160
在上一期中,我们了解了余额检查与双重支付,今天来聊一下另一个问题,假设有一个人想要篡改比特币记录,他不可能伪造别人的签名,但是可以删除某一条记录,比如说他本来付给了别人十个比特币,现在他想把这个记录删掉,伪造篡改这条记录,系统如何防止这件事的发生呢? 首先,比特币遵守最长链原则,即以最长的链为主链, ...
分类:
其他好文 时间:
2020-04-14 12:54:54
阅读次数:
102
楔子 现在网络的安全性已经变得越来越重要,各位程序员在开发过程中或多或少都会遇到公钥、私钥、加密、签名等一些相关名词。这些概念比较杂乱,容易混淆,下面就来梳理一下这部分的内容。 对称加密 在重要的信息的传递过程中,人们总是希望信息不会被偷看、不会被篡改,伪造等。为了达到这个要求人们一直在不断努力着。 ...
分类:
其他好文 时间:
2020-04-13 19:48:48
阅读次数:
91
XSS 跨站点脚本攻击 用户输入的 validation, 注意请求中的嵌入式脚本 HttpOnly 注入攻击 用户输入的 validation, 参数提前绑定(利用绑定变量 等) CSRF 攻击 (跨站点请求伪造) 攻击者通过跨站请求,以合法用户的身份进行非法操作. 表单 Token, 验证码, ...
分类:
其他好文 时间:
2020-04-13 00:48:43
阅读次数:
76
1、xss(跨站脚本攻击):富文本、评论 利用站点开放的文本编辑并发布的功能,输入并执行js脚本,窃取cookie等敏感信息。 预防方法: 方法一:cookie添加httpOnly属性,这是使用js是不能读取和操作cookie的。 方法二:在cookie中添加校验信息。 方法三:对用户输入进行编码( ...
分类:
Web程序 时间:
2020-04-12 22:55:30
阅读次数:
147
学习总结客户端安全的相关要素,包括浏览器安全,跨站脚本攻击(XSS),跨站点请求伪造(CSRF),点击劫持(Clickjacking),HTML5安全等。 ...
分类:
其他好文 时间:
2020-04-12 14:36:21
阅读次数:
104
一、XXE 是什么 XXE(XML External Entity Injection),即xml外部实体注入,由于程序在解析输入的数据过程中,解析了攻击者伪造的外部实体造成的攻击。 二、什么是xml: XML文件格式是纯文本格式,在许多方面类似于HTML,XML由XML元素组成,每个XML元素包括 ...
分类:
其他好文 时间:
2020-04-11 20:14:52
阅读次数:
83
