今晚无意中加了个健身朋友的微信,我觉得我又行了。 母亲的想法一直与我有冲突,其实本质就是物质决定意识,加上母亲的经历决定了它的想法。 不过事情都有两面性,绝无对错。 不过,我...
发简信
IP属地:山东
-
2020-06-11
-
some words to me
Success is not final,failure is not fatal,it is the courage to continue that counts. An...
-
白帽子讲web安全-访问控制
whoami 权限控制,或者说访问控制,抽象的说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。 在网络中:为了保护网络资源的安全,一般都是通过...
-
白帽子讲web安全-认证与会话管理
who am i 认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够在做什么。 认证实际上就是一个验证凭证的过程。 密码的那些事情 首先是增强密码强度, 接着是密码...
-
白帽子讲web安全-文件上传漏洞
概述 要完成这个攻击,要满足几个条件,首先,上传的文件能够被web容器解析执行,其次用户能够从web上访问这个文件,最后,用户上传的文件若被安全检查,格式化,图片压缩等功能改...
-
白帽子讲web安全-注入攻击
前言 一个安全设计原则:数据与代码分离原则。他就是专门为了解决注入攻击而产生的。 注入攻击的本质,是把用户输入的数据当做代码执行,有两个关键条件:第一个是用户能够控制输入,第...
-
白帽子将web安全-点击劫持
一点击劫持 点击劫持是视觉上的一种欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,诱导用户点击。 点击劫持域CSRF攻击有着异曲同工之妙,都是在用户不...
-
白帽子讲web安全-跨站点请求伪造
一 CSRF 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法. 二 CSRF进阶 1浏览器的cookie策略 浏览器所支持的cookie分为两种...
-
白帽子讲web安全-跨站脚本攻击(2)
一 XSS攻击进阶 1 XSS攻击平台 攻击平台的主要目的就是为了演示xss的危害,以及方便测试使用,常见的有attack API,BeFF,XSS-Proxy 2终极武器:...
-
白帽子讲web安全-跨站脚本攻击(1)
1 XSS简介 通常指黑客通过html注入篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 分类: 反射型XSS 只是简单的把用户输入的数据反...
-
白帽子讲web安全-第二章 浏览器安全
1 同源策略 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文...
-
白帽子讲web安全-第一章 我的安全世界观
1。安全评估的过程:资产等级分析,威胁分析,风险分析,确认解决方案。 2。白帽子兵法:Secure by default 原则(黑名单 白名单 最小权限原则) ...
