6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析发现,域名被劫持后首先跳转到了在国外的黑
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
没接触过公钥签名信任体系的可能不太好理解这个漏洞。我们就撇开具体算法和PKI公钥体系,先来简单说说证书的信任关系是如何建立的。
利用漏洞提交恶意 JavaScript 代码,比如在input, textarea等所有可能输入文本信息的区域,输入<script src="http://恶意网站"></script>等,提交后信息会存在服务器中,当用户再次打开网站请求到相应的数据,打开页面,恶意脚本就会将用户的 Cookie 信息等数据上传到黑客服务器。
边界信任是现代网络中最常见的传统信任模型。所谓边界信任就是明确什么是可信任的设备或网络环境,什么是不可信任的设备或网络环境,并在这两者之间建立“城墙”,从而保证不可信任的设备或网络环境无法在携带威胁信息的情况下,访问到可信任的设备或网络环境的信息。
互联网在国内最近20年的发展,使得网民数量迅速增长,很多用户在访问网站时,对使用HTTP协议已经习以为常,但随着时代的发展,网络技术的革新也是日新月异,HTTPS协议的诞生满足了用户对网站安全的需求,并且正日益成为网络安全领域的潮流和新趋势。
HTTPS全称是:超文本安全传输协议,可以简单理解为使用SSL加密传输的HTTP协议,HTTP的默认端口是80,HTTPS的默认端口是443。SSL是为网络通信提供安全及数据完整性的一种安全协议。http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
当用户在安装森海塞尔的HeadSetup软件时,很少有人知道这个软件还会在“受信任的根证书颁发机构存储库”中安装一个根证书。除此之外,它还会安装一个加密版本的证书私钥,而这是一种非常不安全的行为。
本文讨论了如何通过修改 AFNetworking 和 curl 的代码来解决这个问题,以允许使用 IP 地址直接访问特定的 HTTPS 网站。首先,通过修改 AFNetworking 的配置文件来允许使用 IP 地址访问,然后使用 curl 的 -k 选项来绕过 SSL 证书验证。最后,为了在 iOS 应用程序中完成同样的操作,可以在 AFURLConnectionOperation 中使用 aspect_hookSelector:withOptions:usingBlock:error: 方法来重写 trustHostnames 属性。
mkcert 是一个简单的零配置工具,用于创建本地可信任的开发证书,可以使用任何名称。该工具解决的最核心问题是在本地创建开发证书,而无需进行任何配置。该项目的主要功能、关键特性和核心优势包括:
最近张老师忙着新一期学生的培训,有一段时间没给大家分享文章了,后面张老师尽量多抽一些时间保证更新。
在Hecker News中我提到过,我记录了一种我使用NGINX(一个久经考验的产品,可以迅速地反向代理)作为一个本地测试代理服务器的方法。
是针对对等式(或译为点对点)网络的一种攻击类型:攻击者通过使节点从整个网络上消失,从而完全控制特定节点对信息的访问。 防御方法: 以太坊是通过限制主动连接过来的数量来阻止日蚀攻击的。
近年来,随着我国《网络安全法》《个人信息保护法》的颁布实施,网络安全、用户数据隐私等议题备受大众关注。在此形势下,各行业网站通过部署SSL证书实现网站数据传输的HTTPS加密,已成为现代互联网的重要组成部分。
随着网络安全问题越来越被重视,HTTPS协议的使用已经逐渐主流化。目前的主流站点均已使用了HTTPS协议;比如:百度、淘宝、京东等一二线主站都已经迁移到HTTPS服务之上。而作为测试人员来讲,也要需时俱进对HTTPS协议要有一定的了解,这样就可以更好的帮助我们在工作完成任务和排查问题。
toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 JavaScript 有效负载生成的流量的解释器。
目前,网络传输协议已逐步倾向于HTTPS加密协议。而HTTP升级到HTTPS的方法并不难,只需部署一张SSL证书即可,其安装方法并不难。具体系统安装SSL证书方法可参考GDCA SSL证书部署指南。但是其过程有一个比较复杂的问题,就是站点迁移到HTTPS。 📷 HTTP站点迁移到HTTPS时,并非是新建一个站点。如果操作出错,Google就会认为你在新建一个站点。在迁移过程中,会因为重复的内容,新的协议站点会在Google重新计算。毕竟HTTP与HTTPS确实存在差异,一个是为客户端与服务端提供加密协议,是
图片 SSL证书具有服务器身份认证和数据加密传输的重要作用,在国家政策和各大主流浏览器的推动下,SSL证书早已成为我国网站的标配。但对于大部分企业来说,在建设网站时所面临的问题并不是要不要安装SSL
还不会在局域网申请 ssl 及配置的可以参考之前的文章 前后端都用得上的 Nginx 日常使用经验
交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。针对交换机的攻击主要有以下几类:
这一篇宏哥主要介绍webdriver在IE、Chrome和Firefox三个浏览器上处理不信任证书的情况,我们知道,有些网站打开是弹窗,SSL证书不可信任,但是你可以点击高级选项,继续打开不安全的链接。举例来说,想必大家都应该用过前几年的12306网站购票,点击新版购票,是不是会出现如下的界面。宏哥又找了一个https的页面,如下图所示:
对于站点来说,使用https访问能增强数据传输的安全性,避免一些安全事故,同时拥有了https认证,在主流浏览器中都被被标记为可信任的安全的网站,也能加强搜索引擎的对https站点的收录。
但如果有第三方在你不知情的情况下窃听,甚至冒充某个你信任的商业伙伴窃取破坏性的信息呢?你的私人数据就这样被放在了危险分子的手中。
对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有将其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式:CRL(Certificate Revocation List,证书吊销列表)和 OCSP(Online Certificate Status Protocol,在线证书状态协议)
近期,因为需要研究 Spring Security 的安全机制,因为 Spring Security 说可以帮助避免 CSRF 攻击。
尽管网络上,已经有不少文章讨论IPFS,不过真正讲明白IPFS想做什么的很少,文本尝试站在未来Web3.0的高度来看看IPFS究竟用来解决什么问题。
SSL证书的正确部署对于确保网站安全性至关重要。以下是在部署SSL证书时需要注意的一些重要事项:
上周,本站发布了一篇名为《站长须知:HTTP迁移HTTPS时,如何避免发生重复内容问题》的文章。介绍了HTTP页面迁移到HTTPS的时候,为了避免出现重复内容的不同网站的情况,建议广大站长将所有的HTTP页面使用301重定向到对应的HTTPS,为了让更多人熟悉301重定向,本文将介绍301重定向的方式。当然大前提用户在服务器上必须要正确安装SSL证书。 📷 301重定向 301重定向是指页面永久性移走,是网页更改地址后对搜索引擎最友好的方法。当网站发生调整,改变了网站的目录结构,网页被移到一个新地址。或者网
在浏览器bs模式下交互中,我们考虑数据安全性一般会从一下几个方面着想 : ① 内容可以明文公开,但是不能被修改 ② 内容不能被公开,且不能被修改 ③ 请求不能被伪造
之前的几篇文章我们讲了分布式协议里面的Paxos协议和Raft协议。这两个协议主要适用于可信节点的情况,所谓可信节点就是节点只会出现因为系统或者网络问题的宕机情况,不会有恶意节点。
多域名通配符SSL – 安全多域名和子域名 多域名通配符SSL证书是结合通配符SSL和多域名SSL两者的组合特征而成。在多域名通配符SSL证书下,用户可以保护多个完全合格的域名及其无限数量的子域(达到第一级)。 多域名通配符SSL是用户保护多个域名以及无限数量子域名的绝佳选择。单多域名通配符SSL证书对于多域名和子域名的管理是有利的,因为可节省了时间和金钱。 多域名通配符SSL证书可用于域名验证(DV)和组织验证(OV)选项。根据数字证书颁发机构(CA)的验证过程,OV SSL证书最多可能需要3天,而D
随着各行业都在实现区块链化,区块链的发展日益加快。在区块链上,玩家可以拥有游戏内的资产,而这些资产则有更广泛意义上的流通性;区块链游戏中资产数据的安全,可解决后端开发限制,打破头部垄断;相较传统游戏中心化的管理模式,链上游戏从技术层面赋予了更多应用场景,在未来发展中显得尤为重要。
题图摄于北京二环路 【前言】不时有朋友向我询问某某区块链项目怎么样。我通常只给他们讲一点:要考察项目中区块链的信任体系。不管项目方说得怎样天马行空,看懂其中的信任机制,就基本可判断其项目的价值。 最近热门词汇层出不穷,如 DAO,NFT,Web 3.0 甚至 元宇宙,它们共同点就是和区块链息息相关。通过剖析其中的信任原理,能让我们有更深入的理解。后续文章将对这些基于区块链的概念做讨论。 要想了解区块链、云原生和机器学习等技术原理,可置顶和关注本公众号 亨利笔记 ( henglibiji ),以免
要想了解区块链、云原生和机器学习等技术原理,可置顶和关注本公众号 亨利笔记 ( henglibiji ),以免错过更新。
本项目是一个简单的文件共享应用程序。通过Napster(最初形式的版本已不能下载)、Gnutella(有关可用客户端的讨论,请参阅http://www.gnutellaforums.com)、BitTorrent(可从http://www.bittorrent.com下载)等众多著名应用程序,你可能已经熟悉文件共享的概念。本项目将编写的应用程序在很多方面都与它们类似,只是要简单的多。
Trusty是一套软件组件集合, 它支持实现移动设备上的可信任执行环境(TEE).Trusty包含有: ♣ 基于处理器架构的操作系统(Trusty OS). ♣ 基于TEE实现的驱动, 该驱动方便android kernel(linux)来同运行在该系统上的应用进行通讯. ♣ 基于软件的库组合, 它将提供给android系统软件通过kernel驱动同该系统上的应用进行通讯. 注意: Trusty/Trusty API会由管理者进行修改. Trusty API的相关信息, 请参考API Reference [
以ChatGPT为代表AI大语言模型(LLMs)是一项具有革命性的技术。它不仅可以像之前的人工智能一样进行分类或预测,还可以通过自然语言与人类对话,生成文本、图像、视频、可执行代码等各种形式的内容,这将对人们的生产生活和社会发展产生深远影响。但是人工智能开发和应用阶段的任何错误都可能是灾难性的。[1]现在大语言模型已经面临诸多信任挑战,比如人们越来越无法分辨区分出ChatGPT生成的内容与人类生成的内容;大语言模型存在幻觉问题,会生成错误、具有诱导性的内容,那么人们该如何分辨并信任大语言模型生成的内容;大语言模型还存在偏见、歧视、隐私侵犯、有害言论等多方面伦理风险,继而带来一系列信任危机,甚至遭到业界的抵制和封杀。信任是人工智能发展的一个核心问题,人与技术之间信任关系更是技术发展趋势与人类未来的一个核心问题。[2]DeepMind首席运营官Lila Ibrahim表示,AI大模型是一种变革性技术,但它只有在得到信任的情况下才能充分发挥潜力。
PKI(公钥设施基础,Public Key Infrastructure)是一种标准化的密钥管理平台,能为网络应用提供加密和数字签名,以及密钥和证书管理体系的服务。在几乎所有介绍PKI的书籍或文章上,我们都能看到类似于这样的一句话:使用PKI就能保证网络应用的安全。那么,PKI体系的安全性到底怎样呢?就让我们来逐一列出PKI体系的十大安全隐患:
开发团队或者公司内部一般会采用内外网隔离、上网行为过滤等措施,比较可靠地保证了内部设备无法被外部网络所侦测,从而可能认为 HTTP 内网站点是一个相对安全的存在。即使在 HTTPS 证书如此盛行的今天,也还暂时不考虑内部站点的 HTTPS 化。IP + Port 或者 http://本地域名 的访问方式依旧是座上宾。当然,如果考虑到购买 HTTPS 证书的成本或者团队内网站点采用 Letsencrypt 等免费证书过于麻烦(只能采用 DNS 验证的方式每三个月申请一次新证书),那么自签名 SSL 证书则成为首选了。不过,如果为每一个内网站点都生成一个 SSL 证书,然后让大家都手动把 HTTPS 标为可信,那么当面临大量内网站点时,大家可能要被搞崩溃。更为可行的办法是,生成一个内网用的根证书,只标记该根证书可信。
AI研究与应用不断取得突破性进展,然而高性能的复杂算法、模型及系统普遍缺乏决策逻辑的透明度和结果的可解释性,导致在涉及需要做出关键决策判断的国防、金融、医疗、法律、网安等领域中,或要求决策合规的应用中,AI技术及系统难以大范围应用。XAI技术主要研究如何使得AI系统的行为对人类更透明、更易懂、更可信。
几乎每隔一段时间,互联网中都会出现信息泄露的大事件,接着被广泛报道,深究其原因,很多都是因为服务器信息被窃取篡改造成的,如今随着技术的日异月新,对互联网信息泄露事件已经有了防范的措施,为网站安装SSL证书实现HTTPS加密已成为网站建设的必要条件。
A. client 连接请求发送到server, server根据配置,发送自己相应的证书给客户端的应用程序(通常是浏览器),这时候的证书中含有的信息包括:证书的概要(明文信息), 证书概要生成的hash值的加密值(这个hash值是被服务端证书对应的私钥加密过的). 证书概要中包含有哪些信息不在这里讨论. B. 客户端收到证书之后,会从证书的概要中读取证书的发行机构,再查找自己的可信任证书列表,看证书的发行机构是否是可以信任的,如果不在可信任证书列表中,那么就会弹出:证书不可信的提示. 这时候需要信任根证书才可以继续. C. 在”证书的发行机构“被信任之后(把发行机构的CA证书添加到可信任列表就可以完成),继续从证书的概要中读取 服务端的证书的 公钥,并利用该公钥解密那个 被加密的hash, 从而获得证书概要的 hash. 然后 客户端的应用程序 还需基于证书概要的明文信息,根据指定的算法计算出实际的hash, 比较这个计算出来的hash 和那个解密出来的hash, 如果两者相等,那么证书验证成功,可以继续进行通信。如果两者不同,那么证书验证失败,通信至此结束. D. 证书验证成功之后,客户端的应用会 通过这个证书和服务端进行一个加密的通信协商(公钥加密,私钥解密 / 私钥加密,公钥解密),这个协商的目标是产生一个对称加密的密钥。 E. 密钥生成之后,那么就会 利用这个对称密钥进行通信了. 那么为什么不用密钥对的方式进行通信呢? 因为密钥对进行通信,那么在C/S 双方都会消耗更多的资源进行加解密操作,这个对通信的效率会有不少的影响,特别是传输大量数据的时候,对效率的影响就很明显,所以https的通信,都是用 密钥对协商一个 对称密钥,然后用对称密钥进行通信过程的加密,而不是一直用密钥对进行加解密.
COSCLI、COSCMD、COSBrowser等工具都是非常好用的cos工具,coscmd支持https、http,coscli只支持https,下面这个case表面是coscli报错,实际是windows系统的问题。为了避免出现证书问题,建议使用coscmd ,在同地域cvm 、cos环境里,用http访问,效率高,没有证书相关问题。
这个问题的场景是这样的:客户端通过浏览器向服务端发起 HTTPS 请求时,被「假基站」转发到了一个「中间人服务器」,于是客户端是和「中间人服务器」完成了 TLS 握手,然后这个「中间人服务器」再与真正的服务端完成 TLS 握手。
领取专属 10元无门槛券
手把手带您无忧上云