为了给别人提供账号密码以便xx,同时又为了防止账号密码被对方篡改,于是想做一个自己的登录页面,自己设计一套非真实的账号密码,然后别人通过在我的网页上登录我设计的账号密码,通过我的验证后我再来提供xx服务。 方案一:模拟HTTP请求 这是一开始最先想到的方案,于是通过fiddler,wireshark ...
分类:
其他好文 时间:
2017-08-12 22:41:46
阅读次数:
244
继续~ 1 手机号篡改 场景一:抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务。 场景二:在测试一个业务的时,第一步输入别人的邮箱验证该邮箱是否存在。第二步输入手机号的时候随便填一个手机号,抓包修改成自己的。结 ...
分类:
其他好文 时间:
2017-08-12 16:10:49
阅读次数:
140
一、概念和定义 1、什么是重放攻击? 我们在设计接口的时候,最担心一个接口被别有用心的用户截取后,用于重放攻击。重放攻击是什么呢?就是把请求被原封不动地重复发送,一次,两次...n次。 2、重放攻击造成的后果 一般的请求被提交到后台执行,先会经过【页面验证】后提交给【后台逻辑】,提交给【后台逻辑】过 ...
随着互联网的兴起,越来越多的信息和资源要通过网络传输完成;然而在这些数据传输中总有一些“无关人员”做一些窃听、盗娶篡改等危害数据安全的行为,所以我们要对数据进行加密处理,以保证数据的安全传输;所以有了一下几种加密方式:一、对称加密:这种算法简单来说就是数据的..
分类:
其他好文 时间:
2017-08-04 23:00:34
阅读次数:
369
在项目的进行中,主要牵扯到了一些安全方面的考虑,跟money相关的嘛,如果安全不考虑,你就惨了,一期呢,为了防止数据被篡改,主要对数据用dsa进行了签名,二期呢,考虑到das产生的字符串有可能太长,修改为md5了,其他方面的技术呢,主要用了spring做控制,mybatis做orm,velocity ...
分类:
其他好文 时间:
2017-08-04 00:26:49
阅读次数:
203
链接:https://www.zhihu.com/question/20182967/answer/76631201著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 COOKIE由于存储在客户端,有被随意篡改的风险,所以其实服务器判断用户登陆状态,一般都是用SESSION的... ...
分类:
Web程序 时间:
2017-08-03 20:08:57
阅读次数:
158
在不同服务器或系统之间进行交互时我们往往需要进行身份的认证,以满足安全上的防抵赖和防篡改。 要实现以上要求使用非对称加密算法是目前最理想的方案。 以下是具体的实现: 1. 生成RSA算法私钥和公钥对,用openssl(openssl的安装网上有很多资料,可以自行查看) 生成RSA私钥 openssl ...
分类:
编程语言 时间:
2017-07-28 21:00:36
阅读次数:
249
第七章 确保Web安全的HTTPS 1、HTTP的不足 通信使用明文(不加密),内容可能被监听 不验证通信方的身份,因此可能遭遇伪装 无法验证报文的完整性,所以有可能已遭篡改 2、通信加密 1 通信的加密 2 内容的加密 3、通过查看对手的证书(SSL支持,第三方提供),来验证通信方 4、HTTP常 ...
分类:
Web程序 时间:
2017-07-28 11:02:10
阅读次数:
187
教你怎样在电脑上建一个绝密目录 电脑中总有一些私密文件或者公司客户关键文件不想让别人看到或者窃取篡改,怎样建立一个别人都打不开的目录,简单几招请往下看! 1.在e盘中,建一个命名为“绝密文件”的目录为样例。 2.快捷键win+R高速打开执行窗体。输入“cmd”,点击确定。进入cmd执行模式,在光标后 ...
分类:
其他好文 时间:
2017-07-27 22:33:31
阅读次数:
153
很多 web 开发者没有注意到 SQL 查询是可以被篡改的,因而把 SQL 查询当作可信任的命令。殊不知道,SQL 查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过 SQL 查询去运行主机操作系统级的命令。 直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句 ...
分类:
数据库 时间:
2017-07-27 18:19:48
阅读次数:
169
