提供一个任意的 Host 头 在探测 Host 头注入漏洞时,第一步测试是给 Host 头设置任意的、无法识别的域名,然后看看会发生什么。...然而,Burp Suite 精确地保持了主机头和目标 IP 地址之间的分离,这种分离允许你提供所需的任意或格式错误的主机头,同时仍然确保将请求发送到预期目标。...在本节中,我们将提供一些你可以构造的常见 HTTP Host 头攻击的示例。...这种行为可以用来窃取重置任意用户密码所需的秘密令牌,并最终危害他们的帐户。 ? 密码重置是如何工作的 几乎所有需要登录的网站都实现了允许用户在忘记密码时重置密码的功能。...在真正的攻击中,攻击者可能会伪造一个假的警告通知来提高受害者点击链接的概率。 即使不能控制密码重置的链接,有时也可以使用 Host 头将 HTML 注入到敏感的电子邮件中。
它是个带有电子邮件、电话、设备令牌和外部通道的单个NoSQL DynamoDB表。Contacts table schema: device_tokens 应以 JSON 格式存储。...如结算服务发送短信提醒客户付款到期,或者购物网站的交付消息到他们的客户。 API网关 将为生产者提供API接口,并将请求正确地路由到通知服务(Lambda)。...通知服务 类似后端服务,功能如下: 执行基本验证,以验证电子邮件、电话号码、设备令牌等。 查询数据库以获取生成通知事件所需的数据。 将通知数据推送到事件总线以进行并行处理。...关键是: 事件和推送通知中的安全性 通知模板和设置 可靠性和弹性 重试机制 速率限制 监视队列中的通知和事件跟踪 事件和推送通知的安全性 在存储敏感数据的情况下,我们应该启用DynamoDB的数据保护,...为了为用户提供对通知设置的细粒度控制,我们可以将其存储在单独的通知设置表中。在向用户发送任何通知之前,我们首先检查用户是否愿意接收这种类型的通知。
怎么想、怎么做,全在乎自己「不断实践中寻找适合自己的大道」 5 收集联系信息流程 为发送通知,需收集各种信息如移动设备令牌、email、phone和第三方通道信息。...用于存储联系信息的简化的数据库表模式。它是个带有电子邮件、电话、设备令牌和外部通道的单个NoSQL DynamoDB表。...如结算服务发送短信提醒客户付款到期,或者购物网站的交付消息到他们的客户。 API网关 将为生产者提供API接口,并将请求正确地路由到通知服务(Lambda)。...通知服务 类似后端服务,功能如下: 执行基本验证,以验证电子邮件、电话号码、设备令牌等。 查询数据库以获取生成通知事件所需的数据。 将通知数据推送到事件总线以进行并行处理。...为了为用户提供对通知设置的细粒度控制,我们可以将其存储在单独的通知设置表中。在向用户发送任何通知之前,我们首先检查用户是否愿意接收这种类型的通知。
比如它可以嵌入到发送给受害者的电子邮件中的html图像标签中,当受害者打开其电子邮件时,该图像会自动加载。...2018年,一些路由器也受到了CSRF的攻击,从而能够修改路由器的DNS设置。...在初次访问web服务的时候,会在cookie中设置一个随机令牌,该cookie无法在跨域请求中访问: Set-Cookie: csrf_token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql...因为从恶意文件或电子邮件运行的JavaScript无法成功读取cookie值以复制到自定义标头中。...提交表单后,站点可以检查cookie令牌是否与表单令牌匹配。 同源策略可防止攻击者在目标域上读取或设置Cookie,因此他们无法以其精心设计的形式放置有效令牌。
短信 vs 一次性令牌应用 对于标准的消费者在线账户,提供第二重认证的两个主要选择通常是通过短信或利用用户智能手机上应用程序生成的一次性令牌。...应用程序生成的令牌 应用程序在用户设备上生成的一次性令牌是对在线账户实现双因素身份验证的最安全方法,无需消费者使用非标准硬件(如 RSA 令牌等,这些在企业场景中更常见)。...具体来说,部署恶意的 GSM 基站并对 GSM 连接实施全面的 MITM 攻击所需的技术和工具都已经商品化了,尽管它们要求对手在物理上接近给定的目标。...SS7安全性 七号信令是30多年前开发的体系结构和协议。它为 PSTN 的一些功能提供带外信令支持,即呼叫建立、计费、路由和信息交换。...3GPP在20世纪90年代和21世纪初为 SS7增加了两个新的协议: MAP和 CAMEL。其目的是支持移动网络提供的一些新服务,以及为移动运营商提供的新功能。
路由层和中间层则通过令牌执行对微服务的访问。 微服务是可独立部署的服务的软件架构设计,把复杂的应用拆解为小型、独立进程,与语言无关,用API通信。...这里解决的是LDAP的问题,LDAP在本地网络上,应用无法通过URL建立连接。因此通过LDAP的应和云高速缓存连接,在被请求的时候从云提取数据,解决了连接问题。云和云缓存之间用SCIM协议来实现。...平台web路由层接受内外请求,把他们路由到平台服务层或基础设施服务层 除了通信的数据层和基于LDAP通信的ID存储层之外,OAuth协议用于保护内部组件(例如微服务)之间的通信,且来自外部的访问的相同令牌也用于内部的安全...,也就是说,web路由层无论内外,均使用相同的令牌和协议来处理请求,因此提供了单一一致的安全模型。...而系统中安全模型越少,系统越安全。 Web路由层需要知道被调用资源的URL,这就需要发现功能,通过OAuth服务的API实现可确定,从而不需要考虑静态路由的可用性。
REST Client 为了正常工作所需要的第一件事是发出请求的类型及其尝试访问的路由的完整 URL 路径。...爽啊 GET 示例 现在已经创建了一个用户,比方说我们忘记了他们的密码,他们发了一封邮件来找回密码。电子邮件中包含令牌和链接,该链接会将他们带到页面以重置密码。...如果令牌确实有效,则服务器的响应如下所示: 而这就是 GET 请求所需要的全部内容,他们不用担心请求体的问题。 Update 示例 接下来是 CRUD 中的 U:更新。...在我的应用程序中,用户可以更新其名字,姓氏或电子邮件。 因此,在传递正文时,如果 REST Client 成功击中 PUT 端点,则这就是 VS Code 中的 Response 选项卡的样子。...在 REST Client 请求中添加授权真的很简单:简单地在路由和 content-type 被声明的地方下面添加键 Authorization,然后(至少对我的情况而言)我添加 JWT 的键和值(因为它们出现在浏览器的本地存储中
然后我们还提供了 AuthService 和 AuthController 。 注意:我们配置了 JWTModule ,使令牌在5分钟后过期,这是我们Redis缓存中每个键值数据的过期时间。...更新app.module.ts 此外,我们需要更新我们应用程序的应用模块,以整合我们的认证模块和其他在应用程序中所需的模块。...这很棒,因为它提高了应用程序的性能。正如我们将看到的,除非我们检查存储并验证用户的设备,否则我们将无法调用路由。 创建身份验证守卫 一个守卫将通过要求请求中存在有效的JWT来帮助我们保护终端点。...注意:在 line 36 中,我们将用户有效负载添加到请求对象中。这样我们就可以在路由处理程序中访问它。我们将在本文的注销部分中看到这一点。...在服务中,我们将创建一个函数,用于从Redis缓存中删除用户的电子邮件密钥。 将以下代码添加到身份验证控制器中: // src/auth/auth.controller.ts ...
如果你想使用一个模拟的电子邮件服务器,Python提供了一个非常好用的方法,你可以使用下面的命令在第二个终端中启动它: (venv) $ python -m smtpd -n -c DebuggingServer...发件人配置项我在第七章中已经配置过了,是ADMINS。该电子邮件将具有纯文本和HTML版本,所以根据你的电子邮件客户端的配置,可能会看到它们之中的其中之一。 如你所见,相当简单。...当表格被提交并验证通过,我使用表格中的用户提供的电子邮件来查找用户。如果我找到用户,就发送一封密码重置电子邮件。...为了使令牌安全,需要提供一个秘密密钥用于创建加密签名。在这个例子中,我使用了字符串'my-secret',但是在应用中,我将使用配置中的SECRET_KEY。... Sincerely, The Microblog Team 请注意,这两个电子邮件模板中的url_for()调用中引用的reset_password路由尚不存在,这将在下一节中添加
假设您的应用程序有一个 /user/email 路由,它接受 POST 请求来更改经过身份验证用户的电子邮件地址。...最有可能的情况是,此路由希望 email 输入字段包含用户希望开始使用的电子邮件地址。...没有 CSRF 保护,恶意网站可能会创建一个 HTML 表单,指向您的应用程序 /user/email 路由,并提交恶意用户自己的电子邮件地址: <form action="https://your-application.com...,他们<em>的</em><em>电子邮件</em>地址就会在您<em>的</em>应用程序<em>中</em>更改。...CSRF 攻击关键在于 cookie,如果 cookie 里不含登陆<em>令牌</em>,你把登录<em>令牌</em>放到 header 里就没问题。因为 CSRF 所利用<em>的</em> form 和四个特殊 tag 都<em>无法</em>添加 header。
这是一款维护良好的应用程序,由许多功能提供支持,使其比竞争对手更具优势。 今天,我们正在探索 Telegram 的 API。...名称可以是您想要的任何名称;我建议选择一个在您的用例中有意义的名称。在回复中键入您选择的姓名并发送。 BotFather 现在会要求一个用户名。这应该是以 结尾的单个单词。例如。在回复中键入它并发送。...此令牌允许您控制您的新机器人! 检索聊天 ID 即使机器人已准备好进行交互,它也无法自行开始聊天。相反,它会对以它开头的聊天做出反应。...getUpdates 替换为之前从 BotFather 获取的令牌,但请记住将机器人部分保留在令牌之前的 URL 中。...[TOKEN][CHAT_ID][YOUR_TEXT] 这就是设置您的个人通知系统所需的全部内容!现在,您可以调用此 URL 并直接向您的手机接收包含通知的消息。 但是,为什么不直接发送电子邮件呢?
然而,在我研究了其他的API实现之后发现,我喜欢上了这种较短的URL样式,它把api作为是子域名的一部分,并从路由中删除了/api,这样更短、更简洁。 ?...访问令牌用于认证所有未来的API请求,生命期短,不会被取消。 刷新令牌在初始登录的响应中返回,然后跟过期时间戳和与使用者的关系一起进行散列计算后存储到数据库中。...登录 在我的程序实现中,正常的登录过程如下所示: 1. 通过/login接收邮件和密码。 2. 检查数据库的电子邮件和密码哈希。 3. 创建一个新的刷新令牌和JWT访问令牌。 4....让JWT保持小巧 在把信息序列化到JWT访问令牌中时,请尽可能地让这个信息小巧,身份验证令牌的生命期不需要很长,因此没必要。...然后,服务器在新的请求中接收到这个令牌后,就会返回更多的结果,并附带新的next_page_token,直到所有的结果全部都返回给客户端。
在典型的微服务架构中,API 网关是一种指令和协议 管理工具,用于处理来自客户端的请求并决定将它们路由到哪些微服务以获取响应。...网络攻击从有效的 API 令牌中获取里程数,可以成功的攻击应用程序的业务逻辑或数据层,原因是它们的设计是针对允许使用 API 的漏洞。 3....小企业 API 安全问题缺乏关注 相较于大型企业,小企业无法提供必要的措施来充分保障其数据,因此所拥有的安全性较低,面临的安全风险也会增多。...WAAP 应运而生 现阶段,面临的 API 安全威胁增加,防火墙和网关等传统安全工具无法始终为用户提供防止 API 攻击所需的防御,WAAP(网络应用程序和 API 保护)是必不可少的。...当黑客利用受害者通过电子邮件提供的信息,直接在公司的环境中进行攻击时,WAAP 能够确保 API 被屏蔽,不会导致安全隐患。
这意味着,在Web开发中常见的在无状态API中,每个请求都需要包含服务器需要识别和验证客户端并执行请求的信息。这也意味着服务器无法在数据库或其他存储形式中存储与客户端连接有关的任何数据。...为了保持组织有序,并同时我在第十五章中描述的结构,我将创建一个包含所有API路由的新blueprint。...是api.get_users,这是我在表示中使用的三个链接所需的端点名称。...第二个复杂因素是客户端可能提供与目前绝对相同的值,所以在检查用户名或电子邮件是否被采用之前,我需要确保其与当前的不同。如果任何验证检查失败,那么我会像之前一样返回400错误给客户端。...此路由的身份验证是基于令牌的,事实上,在Authorization头部中发送的令牌就是需要被撤销的。使用撤销了User类中的辅助方法,该方法重新设置令牌过期日期来实现还原操作。
然后,客户端应用程序可以将此令牌传递到服务,作为其标识的证明。 在信任链中可能有额外的 STS。...这增加了安全性,因为它可避免访问多个不同应用程序所需的凭据创建,并且它还对除原始标识提供者外的所有标识提供者隐藏用户凭据。 应用程序仅可查看令牌中包含的已经过身份验证的标识信息。...应用程序通常需要维护注册用户的一些信息,并能够将此信息与令牌中的声明中包含的标识符相匹配。 这通常通过用户首次访问应用程序时的注册来完成,在每次身份验证之后,信息作为附加声明注入到令牌中。...STS 可以基于用户提供的电子邮件地址或用户名、用户正在访问的应用程序的子域、用户的 IP 地址范围或存储在用户浏览器 cookie 中的内容来自动执行此操作。...如果自动发现无法确定主页领域,则 STS 会显示列出受信标识提供者的主页领域发现页,用户必须选择其中之一来使用。 何时使用此模式 此模式适用于以下方案: 企业中的单一登录。
如何构造 CSRF 攻击 手动创建 CSRF 攻击所需的 HTML 可能很麻烦,尤其是在所需请求包含大量参数的情况下,或者在请求中存在其他异常情况时。...这可以通过电子邮件或社交媒体消息向用户提供指向网站的链接来实现。或者,如果攻击被放置在一个流行的网站(例如,在用户评论中),则只需等待用户上钩即可。...由于攻击者无法确定或预测用户的 CSRF token 的值,因此他们无法构造出一个应用程序验证所需全部参数的请求。所以 CSRF token 可以防止 CSRF 攻击。...另一种方法是将令牌放入 URL query 字符串中,这种方法的安全性稍差,因为 query 字符串: 记录在客户端和服务器端的各个位置; 容易在 HTTP Referer 头中传输给第三方; 可以在用户的浏览器中显示在屏幕上...当其与 CSRF token 结合使用时,SameSite cookies 可以提供额外的防御层,并减轻基于令牌的防御中的任何缺陷。
影响网络通信质量的因素 流量类型 带宽 时延 抖动 丢包率 语音 低 高 高 低 视频 高 高 高 低 FTP 中,高 低 低 高 电子邮件、http网页浏览 低 低 低 中、高 1.网络带宽 单位时间内能传输的数据量...串行化时延:指发送节点在传输链路上开始发送报文的第一个比特至发完该报文的最后一个比特所需的时间。该时延取决于链路带宽以及报文大小。 处理时延:指路由器把报文从入接口放到出接口队列需要的时间。...它的大小跟路由器的处理性能有关。 队列时延:指报文在队列中等待的时间。它的大小跟队列中报文的大小和数量、带宽以及队列机制有关。...更关键的是,所有网络节点都需要为每个数据流保存状态信息,而当前在Internet骨干网上有着成千上万条数据流,因此IntSer模型在Internet骨干网上无法得到广泛应用。 区分服务类型 ?...如果在一个流行为中定义的多个动作产生冲突,将出现以下情况之一: 在流行为视图定义冲突的动作时,系统提示错误,命令无法执行。 应用流策略时,系统提示错误,流策略应用失败。
如果你想知道我和igorcoding是怎样在Tarantool内部建立一个系统的,请继续往下看。 如果你用过Mail.Ru电子邮件服务,你应该知道它可以从其他账号收集邮件。...如果支持OAuth协议,那么在收集其他账号的邮件时,我们就不需要让用户提供第三方服务凭证了,而是用OAuth令牌来代替。...expires_in)——令牌到期时间戳或任何其他预定义时间,如果你的access_token到期了,你就不能继续访问所需的资源。...现在我们看一下服务的简单框架。设想有一些前端可以在我们的服务上写入和读出令牌,还有一个独立的更新器,一旦令牌到期,就可以通过更新器从OAuth服务提供商获取新的访问令牌。 ?...如果我们通过电子邮件分片,一部分地址存储在一个分片上,另一部分地址存储在另一个分片上,我们很清楚我们的数据在哪里。 有两种方法可以分片。
令牌是一种特殊的帧,在需要用到令牌概念的局域网网络上的所有节点设备中,只有得到令牌的节点才能发送帧。...Interner提供的常用服务: 1.E-mail服务: 电子邮件类似于普通信件,它的收发过程和普通信件的工作原理非常相似。...只不过,通过电子邮件服务传送的邮件不是具体实物,而是电信号,因此它可以传送很多普通信件无法传送的东西,例如动画。...在因特网中的所有路由器,对于目的地址是专用地址的数据报一律不进行转发。...数据进入路由器后要先从物理层上到层,在转发表中找到下一跳的地址后,再下到物理层转发出去。因此数据从主机1传送到主机2需要在路径中的各节点的协议栈向上向下流动多次。
发送时延=分组长度/信道宽度 传播时延:电磁波在信道中传播一定的距离需要花费的时间,即一个比特从链路的一端到另一端传播所需的时间,传播时延=信道长度/电磁波在信道上的传播速率。...关键问题是路由选择,并实现流量控制、拥塞控制、差错控制和网际互联等功能。 差错控制:同上 拥塞控制:如果拥塞状态使得网络层中的两个结点无法正常通信,则采用一些措施缓解拥塞。...发送方在发送数据的同时通知其他站点自己传输数据所需要的长度。...空闲的时候网络中只有令牌在传输。如果传到有数据要发送的站点,令牌会被修改一个标志位,并带上数据成为数据帧。 在继续传递的过程中,如果计算机检测到令牌的目的地址与自己相同,会复制令牌。...6.4 电子邮件 6.4.1 电子邮件系统的组成结构 电子邮件的三个最主要的组成构建:用户代理、邮件服务器和电子邮件使用的协议(SMTP、POP3)。 用户代理UA:用户与电子邮件系统的接口。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
