一、概述 https并非是应用层的一种新协议。只是HTTP通信接口部分用SSL和TLS协议替代。 通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。 简而言之,所谓HTTPS其实就是身披SSL协议这层外壳的HTTP。 HTTPS采用对称加密和非对称加密 ...
分类:
Web程序 时间:
2019-04-08 01:01:28
阅读次数:
192
现在想做点什么事都需要证书,要不就会让我们回忆起一个典故:滥竽充数 HTTPS使用了公开密钥加密,如何保证公开密钥就是真正的公开密钥呢?攻击者可能会替换公开密钥,这时候就需要验证,所以它采用了数字证书这种方法。 首先数字证书认证机构(CA)要被信任,然后服务器的管理员才敢去申请数字证书,下面是基本流 ...
分类:
Web程序 时间:
2019-04-06 12:45:26
阅读次数:
134
公开秘钥加密&&共享秘钥加密 这两个冗长的短语,让我拿什么理解? 我们知道HTTPS有加密功能,以上的两个短语很常用。先摆在这,接下来开始尝试理解它们。 共享秘钥加密(对称秘钥加密):之所以叫做“共享”,从字面上理解就是通信双方的秘钥是共享的。“对称”不就是通信双方的秘钥相同吗. 使用这种方法通信的 ...
分类:
Web程序 时间:
2019-04-06 12:21:56
阅读次数:
192
HTTP作为一个大规模使用的网络协议就真的安全了吗? 我们知道互联网为什么叫互联网,你可以在任何地方都可以与之相连,所以在这些可以连接的点上都可以获取互联网的部分信息。 那么HTTP通信时有什么缺点吗? 首先我们在用wireshark抓宝时可以看到报文的全部内容,因此HTTTP是不加密的,它的通信使 ...
分类:
Web程序 时间:
2019-04-05 12:27:51
阅读次数:
205
查库,select schema_name from information_schema.schemata; 查表,select table_name from information_schema.tables where table_schema=dbname; # 可以是database() ...
分类:
数据库 时间:
2019-03-23 18:41:02
阅读次数:
226
我们将常用的测试工具分为10类。 1. 测试管理工具 2. 接口测试工具 3. 性能测试工具 4. C/S自动化工具 5.白盒测试工具 6.代码扫描工具 7.持续集成工具 8.网络测试工具 9.app自动化工具 10.web安全测试工具 注:工具排名没有任何意义。 大多数初学者,或者某个领域知识的入 ...
分类:
其他好文 时间:
2019-03-13 20:15:14
阅读次数:
209
相信很多的Web安全初学者和我一样,对中间件和服务器的认识不够深刻,对两者的概念可能会有所混淆。 正好今天在学习的时候突然想到了这个问题,粗略百度了一下,似乎网上对这个问题的解释不多,那么就由我来为大家解释一下中间件和服务器的关系。 一、服务器的定义: 服务器指的是一个管理资源并为用户提供服务的计算 ...
分类:
Web程序 时间:
2019-03-08 16:52:50
阅读次数:
217
XSS攻击全称跨站脚本攻击(Cross site scripting),为和CSS区别,改为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 XSS攻击的产生原因是 对外部输入的参数没 ...
分类:
Web程序 时间:
2019-03-06 10:48:03
阅读次数:
226
(参考知道创宇) SQL注入: SQL注入(SQL Injection),是一个常见的发生于应用程序和数据库之间的web安全漏洞,由于在开发过程中的设计不当导致程序中忽略了检查,没有有效的过滤用户的输入,是攻击者可以向服务器提交不正常的访问数据(即恶意的的SQL命令代码),程序在接收后错误的将攻击者 ...
分类:
Web程序 时间:
2019-02-24 13:30:50
阅读次数:
217
0x00.skipfish简介 谷歌公司出品的开源web程序评估软件。 skipfish特点:CPU资源占用低,扫描速度快,每秒可以轻松处理2000个请求,误报率低。 1x00.skipfish使用 1x01 帮助信息 1x02 ? skipfish -o test [url] #test为保存结果 ...
分类:
Web程序 时间:
2019-02-20 21:24:25
阅读次数:
356
