摘要:面試網(wǎng)絡(luò)了解及網(wǎng)絡(luò)基礎(chǔ)對(duì)端傳輸詳解與攻防實(shí)戰(zhàn)本文從屬于筆者的信息安全實(shí)戰(zhàn)中滲透測(cè)試實(shí)戰(zhàn)系列文章��。建議先閱讀下的網(wǎng)絡(luò)安全基礎(chǔ)���。然而,該攻擊方式并不為大家所熟知�����,很多網(wǎng)站都有的安全漏洞。
面試 -- 網(wǎng)絡(luò) HTTP
現(xiàn)在面試門檻越來越高�����,很多開發(fā)者對(duì)于網(wǎng)絡(luò)知識(shí)這塊了解的不是很多����,遇到這些面試題會(huì)手足無措。本篇文章知識(shí)主要集中在 HTTP 這塊�����。文中知識(shí)來自 《圖解 HTTP》與維基百科���,若有錯(cuò)誤請(qǐng)大家指出����。文章會(huì)持續(xù)更新�。 面試 -- 網(wǎng)絡(luò) TCP/IP 了解 Web 及網(wǎng)絡(luò)基礎(chǔ) 對(duì)端傳輸…
CSRF 詳解與攻防實(shí)戰(zhàn)
本文從屬于筆者的信息安全實(shí)戰(zhàn)中 Web 滲透測(cè)試實(shí)戰(zhàn)系列文章。建議先閱讀下 Martin Fowler 的網(wǎng)絡(luò)安全基礎(chǔ)�����。
CSRF 攻擊的應(yīng)對(duì)之道
CSRF(Cross Site Request Forgery, 跨站域請(qǐng)求偽造)是一種網(wǎng)絡(luò)的攻擊方式,該攻擊可以在受害者毫不知情的情況下以受害者名義偽造請(qǐng)求發(fā)送給受攻擊站點(diǎn)�,從而在并未授權(quán)的情況下執(zhí)行在權(quán)限保護(hù)之下的操作,有很大的危害性�。然而,該攻擊方式并不為大家所熟知�,很多網(wǎng)站都有 CSRF 的安全漏洞�。本文首先介紹 CSRF 的基本原理與其危害性,然后就目前常用的幾種防御方法進(jìn)行分析�����,比較其優(yōu)劣�。最后,本文將以實(shí)例展示如何在網(wǎng)站中防御 CSRF 的攻擊��,并分享一些開發(fā)過程中的最佳實(shí)踐�。
HTTP 圖解
俗話說好的開發(fā),底層知識(shí)必須過硬��,不然再創(chuàng)新的技術(shù)����,你也理解不深入,比如 Python web 開發(fā)工程師���,想要學(xué)習(xí)任何一個(gè)框架�,底層都是 http 和 socket,底層抓牢了����,學(xué)起來會(huì)很輕松。
HTTPS 理論詳解與實(shí)踐
隨著面臨的風(fēng)險(xiǎn)日漸增多��,我們應(yīng)該將所有的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)做敏感數(shù)據(jù)并且進(jìn)行加密傳輸�����。已經(jīng)有很多的瀏覽器廠商宣稱要廢棄所有的非 HTTPS 的請(qǐng)求��,乃 至于當(dāng)用戶訪問非 HTTPS 的網(wǎng)站的時(shí)候給出明確的提示�����。很多基于 HTTP/2 的實(shí)現(xiàn)都只支持基于 TLS 的通信�,所以我們現(xiàn)在更應(yīng)當(dāng)在全部地方使用 HTTPS。
圖解 https 協(xié)議
簡(jiǎn)述 https 的基本原理
理解 TCP(一):端口
更好閱讀體驗(yàn):《理解 TCP 和 UDP》— By Gitbook 端口與進(jìn)程 TCP 的包是不包含 IP 地址信息的�����,那是 IP 層上的事����,但是有源端口和目的端口����。就是說����,端口這一東西,是屬于 TCP 知識(shí)范疇的��。 我們知道兩個(gè)進(jìn)程�,在計(jì)算機(jī)內(nèi)部進(jìn)行通信����,可以有管道、內(nèi)存共享…
談?wù)?HTTP 連接管理
HTTP/1.1 允許在持久連接上使用管道�,但是在瀏覽器上卻幾乎不會(huì)開啟管道功能,chrome 之前的老版本還可以在 chrome://flags 里面來選擇開啟或關(guān)閉管道功能����,最新的版本已經(jīng)移除了管道相關(guān)選項(xiàng)。為什么不加入管道化連接提升性能呢���,主要有幾個(gè)原因:其一是管道化持久連接實(shí)現(xiàn)復(fù)雜����,容易出 bug,且不易調(diào)試����。其二是一些不標(biāo)準(zhǔn)的代理導(dǎo)致管道化容易出現(xiàn)很多難以預(yù)料的問題,導(dǎo)致開發(fā)人員調(diào)試十分復(fù)雜����。
如何讓前端更安全?——XSS 攻擊和防御詳解
最近深入了解了一下 XSS 攻擊���。以前總膚淺的認(rèn)為 XSS 防御僅僅只是輸入過濾可能造成的 XSS 而已�。然而這池子水深的很吶���。
理解 TCP(三):連接的建立和釋放
更好閱讀體驗(yàn):《理解 TCP 和 UDP》— By Gitbook TCP 的整個(gè)交流過程可以總結(jié)為:先建立連接��,然后傳輸數(shù)據(jù)�,最后釋放鏈接���。 三次握手和四次揮手.png 三次握手����,建立連接 TCP 連接建立要解決的首要問題就是:要使每一方能夠確知對(duì)方的存在。 三次握手就像����,在…
九個(gè)問題從入門到熟悉HTTPS
女朋友也是軟件工程專業(yè),因?yàn)榭煲厴I(yè)了��,最近一邊做畢設(shè)一邊學(xué)習(xí)編程���。前兩天她問我 HTTPS 的問題����,本來想直接扔一篇網(wǎng)上的教程給她����。后來想了一下����,那些文章大多直接介紹概念, 對(duì)新手不太友好�����,于是我干脆親自給她解釋一下�����,順便整理了一份問答錄。 Q1: 什么是 HTTPS�? BS…
談?wù)剬?duì) Web 安全的理解
談?wù)剬?duì) Web 安全的理解: 作為一個(gè)前端 er,詳細(xì)介紹了 CSRF 攻擊����,XSS 攻擊,SQL 注入�����,SYN 攻擊等等��。
給你的 Node.js 項(xiàng)目部署 HTTPS
最近上線了一個(gè)面向前端領(lǐng)域技術(shù)干貨的郵件訂閱服務(wù)�����,全站啟用了 HTTPS����,于是有了這篇文章來分享一下我是如何部署 HTTPS 的。
掌握 HTTP 緩存——從請(qǐng)求到響應(yīng)過程的一切(上)
為什么使用 CDN��?CDN 緩存都做了什么�?HTTP 頭都用了哪些���?
http、https��、web 開發(fā)����、協(xié)議、tip/ip��、狀態(tài)碼等簡(jiǎn)要手冊(cè) http 權(quán)威指南
一直比較喜歡《http 權(quán)威指南》這本書��,因?yàn)樗w了網(wǎng)絡(luò)開發(fā)這一塊的很多技術(shù)知識(shí)�,而且比較通俗易懂!我也看了好幾遍�����,但覺得這本書內(nèi)容太多了��,為了方便自己對(duì)相關(guān)概念的印象���,所以特別把每一個(gè)章節(jié)的信息提煉出來,方便自己查看����,也希望分享給大家當(dāng)作手冊(cè)隨時(shí)翻看�!當(dāng)然了����,難免因?yàn)樽约禾釤挼姆椒ú蛔x,可能有些地方不能詳盡�,所以建議大家先看原書!也希望多 issue�!
理解加密算法(三)——?jiǎng)?chuàng)建 CA 機(jī)構(gòu),簽發(fā)證書并開始 TLS 通信
使用 openSSL 創(chuàng)建自己的 CA 機(jī)構(gòu)����,簽發(fā)證書并觀察普通 tcp 通信和 tls 安全通信的區(qū)別,最后將證書用于 https 服務(wù)�。
理解 TCP(二):報(bào)文結(jié)構(gòu)
更好閱讀體驗(yàn):《理解 TCP 和 UDP》— By Gitbook TCP 是面向字節(jié)流的,但傳送的數(shù)據(jù)單元卻是報(bào)文段���。 什么是報(bào)文�����?例如一個(gè) 100kb 的 HTML 文檔需要傳送到另外一臺(tái)計(jì)算機(jī)���,并不會(huì)整個(gè)文檔直接傳送過去�,可能會(huì)切割成幾個(gè)部分�,比如四個(gè)分別為 25kb 的…
淺談 CSRF 攻擊方式
CSRF(Cross-site request forgery),中文名稱:跨站請(qǐng)求偽造�����,也被稱為:one click attack/session riding����,縮寫為:CSRF/XSRF。
Nginx 配置 HTTPS 服務(wù)器
Chrome 瀏覽器地址欄標(biāo)志著 HTTPS 的綠色小鎖頭從心理層面上可以給用戶專業(yè)安全的心理暗示���,本文簡(jiǎn)單總結(jié)一下如何在 Nginx 配置 HTTPS 服務(wù)器����,讓自己站點(diǎn)上『綠鎖』�����。
前端必備 HTTP 技能之 WebSocket 協(xié)議詳解
WebSocket 是一個(gè)計(jì)算機(jī)通信協(xié)議���,通過一個(gè) TCP 連接提供全雙工的通信頻道。2011 年 IETF 在 RFC6455 文件中標(biāo)準(zhǔn)化了 WebSocket 協(xié)議,WebSocket 的 Web IDL 格式的 API 是 W3C 標(biāo)準(zhǔn)化的���。
前端經(jīng)典面試題: 從輸入 URL 到頁面加載發(fā)生了什么����?
這是一篇 web 開發(fā)的科普類文章��,涉及到 DNS, HTTP, 優(yōu)化等多個(gè)方面��。
面向前端的 CDN 原理介紹
內(nèi)容分發(fā)網(wǎng)絡(luò)(Content delivery network 或 Content distribution network�,縮寫:CDN)是指一種通過互聯(lián)網(wǎng)互相連接的電腦網(wǎng)絡(luò)系統(tǒng),利用最靠近每位用戶的服務(wù)器���,更快���、更可靠地將音樂、圖片���、視頻��、應(yīng)用程序及其他文件發(fā)送給用戶�,來提供高性能���、可擴(kuò)展性及低成本的網(wǎng)絡(luò)內(nèi)容傳遞給用戶��。
HTTPS 為什么更安全���,先看這些
HTTPS 是建立在密碼學(xué)基礎(chǔ)之上的一種安全通信協(xié)議�����,嚴(yán)格來說是基于 HTTP 協(xié)議和 SSL/TLS 的組合�。理解 HTTPS 之前有必要弄清楚一些密碼學(xué)的相關(guān)基礎(chǔ)概念��,比如:明文�����、密文�、密碼、密鑰���、對(duì)稱加密�、非對(duì)稱加密����、信息摘要�����、數(shù)字簽名、數(shù)字證書�。接下來我會(huì)逐個(gè)解釋這些術(shù)…
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/11312.html
