0x01 工作背景: 1、 某厅级部门政府站点被篡改 2、 上级主管部门安全通告 3、 配合该部门查明原因限期整改 0x02 工作记录: 1、 信息收集 A、首先到机房了解了一下拓扑图,大概就是:互联网-防火墙-web应用防火墙-防篡改-DMZ服务器区; B、然后了解了一下web应用程序架构,大概就 ...
分类:
其他好文 时间:
2016-05-15 19:50:10
阅读次数:
133
HTTP的缺点 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 任何人都可发起请求 查明对手证书 无法证明报文的完整性,所以有可能已遭篡改 接收到的内容可能有误 用MD5和SHA-1等散列值校验的放阿飞,以及用来确认文件的数字签名方法 HTTPS是指HTTP与SSL ...
分类:
Web程序 时间:
2016-05-15 13:49:16
阅读次数:
118
基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与 SSL 配合使用。 摘要认证是另一种 HTTP 认证协议,它与基本认证兼容,但却更为安全。摘要认证试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改下 ...
分类:
Web程序 时间:
2016-05-13 23:06:16
阅读次数:
307
Summary: HTTP 通信时,可能信息被监听、服务器或客户端身份伪装等安全问题,HTTPS 则能有效解决这些问题。 原始的HTTP连接的时候,因服务器与用户之间是直接进行明文传输,导致用户面临着很多的风险与威胁。攻击者可以轻易的截获或者篡改传输的数据。包括窃取用户的Session信息、注入有害 ...
分类:
Web程序 时间:
2016-05-10 02:15:03
阅读次数:
240
1、通过签名防止cookie篡改
import tornado.httpserver
import tornado.ioloop
import tornado.web
import tornado.options
from tornado.options import define, options
define("port", default=8000, help="run on the...
分类:
其他好文 时间:
2016-05-07 09:34:35
阅读次数:
189
前言在这个乞丐都精通C++的时代,我们的代码安全实在是不敢保证,为了保护我们的代码不被牛逼的乞丐篡改,代码混淆还是必须的。大多数人还是认为代码混淆是很复杂的事情,我自己也这么认为。。。
看完这篇博客,也许就会发现,其实没那么难。段子老规矩,在节目开始之前,先来一个搞笑段子:
女孩:你为什么对我这么好啊?
男孩:我希望有朝一日…
女孩:滚!混蛋
男孩:哎,我还没说完呢~五步搞定1
打开项目...
分类:
移动开发 时间:
2016-05-07 07:54:33
阅读次数:
200
《图解HTTPS》读书笔记。
在HTTP协议中有可能存在信息窃听或身份伪装等安全问题,使用HTTPS通信机制可以有效地防止这些问题。
1.HTTP的缺点
HTTP主要有这些不足,例举如下。
通信使用明文,内容可能会被窃听;
不验证通信方的身份,因此有可能遭遇伪装;
无法证明报文的完整性,所以有可能已遭篡改……
这些问题不仅在HTTP上出现,其他未加密的协议中也会存在这类问题。
除此...
分类:
Web程序 时间:
2016-05-06 15:03:17
阅读次数:
291
一.HTTP协议 HTTP的缺点: 通信使用明文(不加密),内容可能被窃听; 不验证通信方的身份,有可能遭遇伪装; 无法证明报文的完整性,有可能被篡改。 通信使用明文(不加密),内容可能被窃听; 不验证通信方的身份,有可能遭遇伪装; 无法证明报文的完整性,有可能被篡改。 1.通信使用明文可能会被窃听 ...
分类:
Web程序 时间:
2016-05-06 00:32:28
阅读次数:
229
前言
在进行 HTTP 通信时,信息可能会监听、服务器或客户端身份伪装等安全问题,HTTPS 则能有效解决这些问题。在使用原始的HTTP连接的时候,因为服务器与用户之间是直接进行的明文传输,导致了用户面临着很多的风险与威胁。攻击者可以用中间人攻击来轻易的 截获或者篡改传输的数据。攻击者想要做些什么并没有任何的限制,包括窃取用户的Session信息、注入有害的代码等,乃至于修改用户传送至服务器...
分类:
编程语言 时间:
2016-04-29 20:08:15
阅读次数:
212
很多站长似乎不了解https站点是怎么回事,这就要从传统站点说起:传统的站点的http超文本传输协议,采用明文传输模式,存在着大量的灰色中 间环节,明文信息在中间代理服务器、路由器、wifi热点、通信服务运营商等层层节点中转,每一层都有可能导致传输数据被窃取或被第三方篡改,此协议被认 为是非常不安全 ...
分类:
Web程序 时间:
2016-04-29 09:17:40
阅读次数:
216
