摘要:面試網絡了解及網絡基礎對端傳輸詳解與攻防實戰(zhàn)本文從屬于筆者的信息安全實戰(zhàn)中滲透測試實戰(zhàn)系列文章。建議先閱讀下的網絡安全基礎。然而,該攻擊方式并不為大家所熟知,很多網站都有的安全漏洞。
面試 -- 網絡 HTTP
現在面試門檻越來越高,很多開發(fā)者對于網絡知識這塊了解的不是很多,遇到這些面試題會手足無措。本篇文章知識主要集中在 HTTP 這塊。文中知識來自 《圖解 HTTP》與維基百科,若有錯誤請大家指出。文章會持續(xù)更新。 面試 -- 網絡 TCP/IP 了解 Web 及網絡基礎 對端傳輸…
本文從屬于筆者的信息安全實戰(zhàn)中 Web 滲透測試實戰(zhàn)系列文章。建議先閱讀下 Martin Fowler 的網絡安全基礎。
CSRF(Cross Site Request Forgery, 跨站域請求偽造)是一種網絡的攻擊方式,該攻擊可以在受害者毫不知情的情況下以受害者名義偽造請求發(fā)送給受攻擊站點,從而在并未授權的情況下執(zhí)行在權限保護之下的操作,有很大的危害性。然而,該攻擊方式并不為大家所熟知,很多網站都有 CSRF 的安全漏洞。本文首先介紹 CSRF 的基本原理與其危害性,然后就目前常用的幾種防御方法進行分析,比較其優(yōu)劣。最后,本文將以實例展示如何在網站中防御 CSRF 的攻擊,并分享一些開發(fā)過程中的最佳實踐。
俗話說好的開發(fā),底層知識必須過硬,不然再創(chuàng)新的技術,你也理解不深入,比如 Python web 開發(fā)工程師,想要學習任何一個框架,底層都是 http 和 socket,底層抓牢了,學起來會很輕松。
隨著面臨的風險日漸增多,我們應該將所有的網絡數據當做敏感數據并且進行加密傳輸。已經有很多的瀏覽器廠商宣稱要廢棄所有的非 HTTPS 的請求,乃 至于當用戶訪問非 HTTPS 的網站的時候給出明確的提示。很多基于 HTTP/2 的實現都只支持基于 TLS 的通信,所以我們現在更應當在全部地方使用 HTTPS。
簡述 https 的基本原理
更好閱讀體驗:《理解 TCP 和 UDP》— By Gitbook 端口與進程 TCP 的包是不包含 IP 地址信息的,那是 IP 層上的事,但是有源端口和目的端口。就是說,端口這一東西,是屬于 TCP 知識范疇的。 我們知道兩個進程,在計算機內部進行通信,可以有管道、內存共享…
HTTP/1.1 允許在持久連接上使用管道,但是在瀏覽器上卻幾乎不會開啟管道功能,chrome 之前的老版本還可以在 chrome://flags 里面來選擇開啟或關閉管道功能,最新的版本已經移除了管道相關選項。為什么不加入管道化連接提升性能呢,主要有幾個原因:其一是管道化持久連接實現復雜,容易出 bug,且不易調試。其二是一些不標準的代理導致管道化容易出現很多難以預料的問題,導致開發(fā)人員調試十分復雜。
最近深入了解了一下 XSS 攻擊。以前總膚淺的認為 XSS 防御僅僅只是輸入過濾可能造成的 XSS 而已。然而這池子水深的很吶。
更好閱讀體驗:《理解 TCP 和 UDP》— By Gitbook TCP 的整個交流過程可以總結為:先建立連接,然后傳輸數據,最后釋放鏈接。 三次握手和四次揮手.png 三次握手,建立連接 TCP 連接建立要解決的首要問題就是:要使每一方能夠確知對方的存在。 三次握手就像,在…
女朋友也是軟件工程專業(yè),因為快要畢業(yè)了,最近一邊做畢設一邊學習編程。前兩天她問我 HTTPS 的問題,本來想直接扔一篇網上的教程給她。后來想了一下,那些文章大多直接介紹概念, 對新手不太友好,于是我干脆親自給她解釋一下,順便整理了一份問答錄。 Q1: 什么是 HTTPS? BS…
談談對 Web 安全的理解: 作為一個前端 er,詳細介紹了 CSRF 攻擊,XSS 攻擊,SQL 注入,SYN 攻擊等等。
最近上線了一個面向前端領域技術干貨的郵件訂閱服務,全站啟用了 HTTPS,于是有了這篇文章來分享一下我是如何部署 HTTPS 的。
為什么使用 CDN?CDN 緩存都做了什么?HTTP 頭都用了哪些?
一直比較喜歡《http 權威指南》這本書,因為它涵蓋了網絡開發(fā)這一塊的很多技術知識,而且比較通俗易懂!我也看了好幾遍,但覺得這本書內容太多了,為了方便自己對相關概念的印象,所以特別把每一個章節(jié)的信息提煉出來,方便自己查看,也希望分享給大家當作手冊隨時翻看!當然了,難免因為自己提煉的方法不讀,可能有些地方不能詳盡,所以建議大家先看原書!也希望多 issue!
使用 openSSL 創(chuàng)建自己的 CA 機構,簽發(fā)證書并觀察普通 tcp 通信和 tls 安全通信的區(qū)別,最后將證書用于 https 服務。
更好閱讀體驗:《理解 TCP 和 UDP》— By Gitbook TCP 是面向字節(jié)流的,但傳送的數據單元卻是報文段。 什么是報文?例如一個 100kb 的 HTML 文檔需要傳送到另外一臺計算機,并不會整個文檔直接傳送過去,可能會切割成幾個部分,比如四個分別為 25kb 的…
CSRF(Cross-site request forgery),中文名稱:跨站請求偽造,也被稱為:one click attack/session riding,縮寫為:CSRF/XSRF。
Chrome 瀏覽器地址欄標志著 HTTPS 的綠色小鎖頭從心理層面上可以給用戶專業(yè)安全的心理暗示,本文簡單總結一下如何在 Nginx 配置 HTTPS 服務器,讓自己站點上『綠鎖』。
WebSocket 是一個計算機通信協(xié)議,通過一個 TCP 連接提供全雙工的通信頻道。2011 年 IETF 在 RFC6455 文件中標準化了 WebSocket 協(xié)議,WebSocket 的 Web IDL 格式的 API 是 W3C 標準化的。
這是一篇 web 開發(fā)的科普類文章,涉及到 DNS, HTTP, 優(yōu)化等多個方面。
內容分發(fā)網絡(Content delivery network 或 Content distribution network,縮寫:CDN)是指一種通過互聯(lián)網互相連接的電腦網絡系統(tǒng),利用最靠近每位用戶的服務器,更快、更可靠地將音樂、圖片、視頻、應用程序及其他文件發(fā)送給用戶,來提供高性能、可擴展性及低成本的網絡內容傳遞給用戶。
HTTPS 是建立在密碼學基礎之上的一種安全通信協(xié)議,嚴格來說是基于 HTTP 協(xié)議和 SSL/TLS 的組合。理解 HTTPS 之前有必要弄清楚一些密碼學的相關基礎概念,比如:明文、密文、密碼、密鑰、對稱加密、非對稱加密、信息摘要、數字簽名、數字證書。接下來我會逐個解釋這些術…
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11312.html
摘要:于年成立移動邊緣計算規(guī)范工作組,正式宣布推動移動邊緣計算標準化工作。其基本思想是把云計算平臺從移動核心網絡內部遷移到移動接入網邊緣,實現計算及存儲資源的彈性利用。 本文選自最近人民郵電出版社新書《從云端到邊緣:邊緣計算的產業(yè)鏈與行業(yè)應用》第一章第二節(jié)5G時代的邊緣計算,作者吳冬升,5G產...
摘要:興起,與之伴隨的是公共云和多云的潮流。企業(yè)在混合多云環(huán)境中應該怎么做云計算未來會是什么樣子每個人都將在混合多云環(huán)境中工作,并且擁有無縫的移動體驗,可以在云之間移動數據和應用程序,就像我們目前使用和一樣。 作者簡介:Tom Smith,在多個行業(yè)有豐富經驗。對 IT 行業(yè)當前和未來的發(fā)展狀況頗有見解。本文中,他從獨特視角展開,探討企業(yè)及 IT 從業(yè)人員解決業(yè)務問題的辦法。翻譯/OMEGA...
閱讀 3828·2021-10-08 10:12
閱讀 4324·2021-09-02 15:40
閱讀 934·2021-09-01 11:09
閱讀 1604·2021-08-31 09:38
閱讀 2542·2019-08-30 13:54
閱讀 2248·2019-08-30 12:54
閱讀 1242·2019-08-30 11:18
閱讀 1398·2019-08-29 14:06