首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Web Security 之 HTTP Host header attacks

提供一个任意 Host 头 探测 Host 头注入漏洞时,第一步测试是给 Host 头设置任意无法识别的域名,然后看看会发生什么。...然而,Burp Suite 精确地保持了主机头和目标 IP 地址之间分离,这种分离允许你提供所需任意或格式错误主机头,同时仍然确保将请求发送到预期目标。...本节,我们将提供一些你可以构造常见 HTTP Host 头攻击示例。...这种行为可以用来窃取重置任意用户密码所需秘密令牌,并最终危害他们帐户。 ? 密码重置是如何工作 几乎所有需要登录网站都实现了允许用户忘记密码时重置密码功能。...真正攻击中,攻击者可能会伪造一个假警告通知来提高受害者点击链接概率。 即使不能控制密码重置链接,有时也可以使用 Host 头将 HTML 注入到敏感电子邮件

4.9K20

超越架构师!消息通知系统优化设计

它是个带有电子邮件、电话、设备令牌和外部通道单个NoSQL DynamoDB表。Contacts table schema: device_tokens 应以 JSON 格式存储。...如结算服务发送短信提醒客户付款到期,或者购物网站交付消息到他们客户。 API网关 将为生产者提供API接口,并将请求正确地路由到通知服务(Lambda)。...通知服务 类似后端服务,功能如下: 执行基本验证,以验证电子邮件、电话号码、设备令牌等。 查询数据库以获取生成通知事件所需数据。 将通知数据推送到事件总线以进行并行处理。...关键是: 事件和推送通知安全性 通知模板和设置 可靠性和弹性 重试机制 速率限制 监视队列通知和事件跟踪 事件和推送通知安全性 存储敏感数据情况下,我们应该启用DynamoDB数据保护,...为了为用户提供对通知设置细粒度控制,我们可以将其存储单独通知设置表向用户发送任何通知之前,我们首先检查用户是否愿意接收这种类型通知。

17310
您找到你想要的搜索结果了吗?
是的
没有找到

消息通知(Notification)系统优化

怎么想、怎么做,全在乎自己「不断实践寻找适合自己大道」 5 收集联系信息流程 为发送通知,需收集各种信息如移动设备令牌、email、phone和第三方通道信息。...用于存储联系信息简化数据库表模式。它是个带有电子邮件、电话、设备令牌和外部通道单个NoSQL DynamoDB表。...如结算服务发送短信提醒客户付款到期,或者购物网站交付消息到他们客户。 API网关 将为生产者提供API接口,并将请求正确地路由到通知服务(Lambda)。...通知服务 类似后端服务,功能如下: 执行基本验证,以验证电子邮件、电话号码、设备令牌等。 查询数据库以获取生成通知事件所需数据。 将通知数据推送到事件总线以进行并行处理。...为了为用户提供对通知设置细粒度控制,我们可以将其存储单独通知设置表向用户发送任何通知之前,我们首先检查用户是否愿意接收这种类型通知。

17310

密码学系列之:csrf跨站点请求伪造

比如它可以嵌入到发送给受害者电子邮件html图像标签,当受害者打开其电子邮件时,该图像会自动加载。...2018年,一些路由器也受到了CSRF攻击,从而能够修改路由DNS设置。...初次访问web服务时候,会在cookie设置一个随机令牌,该cookie无法跨域请求访问: Set-Cookie: csrf_token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql...因为从恶意文件或电子邮件运行JavaScript无法成功读取cookie值以复制到自定义标头中。...提交表单后,站点可以检查cookie令牌是否与表单令牌匹配。 同源策略可防止攻击者目标域上读取或设置Cookie,因此他们无法以其精心设计形式放置有效令牌

2.4K20

短信验证码背后

短信 vs 一次性令牌应用 对于标准消费者在线账户,提供第二重认证两个主要选择通常是通过短信或利用用户智能手机上应用程序生成一次性令牌。...应用程序生成令牌 应用程序在用户设备上生成一次性令牌是对在线账户实现双因素身份验证最安全方法,无需消费者使用非标准硬件(如 RSA 令牌等,这些企业场景更常见)。...具体来说,部署恶意 GSM 基站并对 GSM 连接实施全面的 MITM 攻击所需技术和工具都已经商品化了,尽管它们要求对手物理上接近给定目标。...SS7安全性 七号信令是30多年前开发体系结构和协议。它为 PSTN 一些功能提供带外信令支持,即呼叫建立、计费、路由和信息交换。...3GPP20世纪90年代和21世纪初为 SS7增加了两个新协议: MAP和 CAMEL。其目的是支持移动网络提供一些新服务,以及为移动运营商提供新功能。

9.9K20

跟着大公司学安全架构之云IAM架构

路由层和中间层则通过令牌执行对微服务访问。 微服务是可独立部署服务软件架构设计,把复杂应用拆解为小型、独立进程,与语言无关,用API通信。...这里解决是LDAP问题,LDAP本地网络上,应用无法通过URL建立连接。因此通过LDAP应和云高速缓存连接,在被请求时候从云提取数据,解决了连接问题。云和云缓存之间用SCIM协议来实现。...平台web路由层接受内外请求,把他们路由到平台服务层或基础设施服务层 除了通信数据层和基于LDAP通信ID存储层之外,OAuth协议用于保护内部组件(例如微服务)之间通信,且来自外部访问相同令牌也用于内部安全...,也就是说,web路由层无论内外,均使用相同令牌和协议来处理请求,因此提供了单一一致安全模型。...而系统安全模型越少,系统越安全。 Web路由层需要知道被调用资源URL,这就需要发现功能,通过OAuth服务API实现可确定,从而不需要考虑静态路由可用性。

1.6K10

只需使用VS CodeREST客户端插件即可进行API调用

REST Client 为了正常工作所需第一件事是发出请求类型及其尝试访问路由完整 URL 路径。...爽啊 GET 示例 现在已经创建了一个用户,比方说我们忘记了他们密码,他们发了一封邮件来找回密码。电子邮件包含令牌和链接,该链接会将他们带到页面以重置密码。...如果令牌确实有效,则服务器响应如下所示: 而这就是 GET 请求所需全部内容,他们不用担心请求体问题。 Update 示例 接下来是 CRUD U:更新。...应用程序,用户可以更新其名字,姓氏或电子邮件。 因此,传递正文时,如果 REST Client 成功击中 PUT 端点,则这就是 VS Code Response 选项卡样子。... REST Client 请求添加授权真的很简单:简单地路由和 content-type 被声明地方下面添加键 Authorization,然后(至少对我情况而言)我添加 JWT 键和值(因为它们出现在浏览器本地存储

8.2K20

如何使用 NestJs、PostgreSQL、Redis 构建基于用户设备授权验证

然后我们还提供了 AuthService 和 AuthController 。 注意:我们配置了 JWTModule ,使令牌5分钟后过期,这是我们Redis缓存每个键值数据过期时间。...更新app.module.ts 此外,我们需要更新我们应用程序应用模块,以整合我们认证模块和其他应用程序中所需模块。...这很棒,因为它提高了应用程序性能。正如我们将看到,除非我们检查存储并验证用户设备,否则我们将无法调用路由。 创建身份验证守卫 一个守卫将通过要求请求存在有效JWT来帮助我们保护终端点。...注意: line 36 ,我们将用户有效负载添加到请求对象。这样我们就可以路由处理程序访问它。我们将在本文注销部分中看到这一点。...服务,我们将创建一个函数,用于从Redis缓存删除用户电子邮件密钥。 将以下代码添加到身份验证控制器: // src/auth/auth.controller.ts ...

32920

带你认识 flask 邮件发送

如果你想使用一个模拟电子邮件服务器,Python提供了一个非常好用方法,你可以使用下面的命令第二个终端启动它: (venv) $ python -m smtpd -n -c DebuggingServer...发件人配置项我第七章已经配置过了,是ADMINS。该电子邮件将具有纯文本和HTML版本,所以根据你电子邮件客户端配置,可能会看到它们之中其中之一。 如你所见,相当简单。...当表格被提交并验证通过,我使用表格用户提供电子邮件来查找用户。如果我找到用户,就发送一封密码重置电子邮件。...为了使令牌安全,需要提供一个秘密密钥用于创建加密签名。在这个例子,我使用了字符串'my-secret',但是应用,我将使用配置SECRET_KEY。... Sincerely, The Microblog Team 请注意,这两个电子邮件模板url_for()调用引用reset_password路由尚不存在,这将在下一节添加

1.8K20

Laravel CSRF 保护

假设您应用程序有一个 /user/email 路由,它接受 POST 请求来更改经过身份验证用户电子邮件地址。...最有可能情况是,此路由希望 email 输入字段包含用户希望开始使用电子邮件地址。...没有 CSRF 保护,恶意网站可能会创建一个 HTML 表单,指向您应用程序 /user/email 路由,并提交恶意用户自己电子邮件地址: <form action="https://your-application.com...,他们<em>的</em><em>电子邮件</em>地址就会在您<em>的</em>应用程序<em>中</em>更改。...CSRF 攻击关键在于 cookie,如果 cookie 里不含登陆<em>令牌</em>,你把登录<em>令牌</em>放到 header 里就没问题。因为 CSRF 所利用<em>的</em> form 和四个特殊 tag 都<em>无法</em>添加 header。

1.4K20

【技术分享】使用电报API免费创建个人通知系统

这是一款维护良好应用程序,由许多功能提供支持,使其比竞争对手更具优势。 今天,我们正在探索 Telegram API。...名称可以是您想要任何名称;我建议选择一个用例中有意义名称。回复中键入您选择姓名并发送。 BotFather 现在会要求一个用户名。这应该是以 结尾单个单词。例如。回复中键入它并发送。...此令牌允许您控制您新机器人! 检索聊天 ID 即使机器人已准备好进行交互,它也无法自行开始聊天。相反,它会对以它开头聊天做出反应。...getUpdates 替换为之前从 BotFather 获取令牌,但请记住将机器人部分保留在令牌之前 URL 。...[TOKEN][CHAT_ID][YOUR_TEXT] 这就是设置您个人通知系统所需全部内容!现在,您可以调用此 URL 并直接向您手机接收包含通知消息。 但是,为什么不直接发送电子邮件呢?

3.2K60

架构必备「RESTful API」设计技巧经验总结

然而,我研究了其他API实现之后发现,我喜欢上了这种较短URL样式,它把api作为是子域名一部分,并从路由中删除了/api,这样更短、更简洁。 ?...访问令牌用于认证所有未来API请求,生命期短,不会被取消。 刷新令牌初始登录响应返回,然后跟过期时间戳和与使用者关系一起进行散列计算后存储到数据库。...登录 程序实现,正常登录过程如下所示: 1. 通过/login接收邮件和密码。 2. 检查数据库电子邮件和密码哈希。 3. 创建一个新刷新令牌和JWT访问令牌。 4....让JWT保持小巧 把信息序列化到JWT访问令牌时,请尽可能地让这个信息小巧,身份验证令牌生命期不需要很长,因此没必要。...然后,服务器请求接收到这个令牌后,就会返回更多结果,并附带新next_page_token,直到所有的结果全部都返回给客户端。

2K30

为什么API网关不足以保证API安全?API安全之路指向何处

典型微服务架构,API 网关是一种指令和协议 管理工具,用于处理来自客户端请求并决定将它们路由到哪些微服务以获取响应。...网络攻击从有效 API 令牌获取里程数,可以成功攻击应用程序业务逻辑或数据层,原因是它们设计是针对允许使用 API 漏洞。 3....小企业 API 安全问题缺乏关注 相较于大型企业,小企业无法提供必要措施来充分保障其数据,因此所拥有的安全性较低,面临安全风险也会增多。...WAAP 应运而生 现阶段,面临 API 安全威胁增加,防火墙和网关等传统安全工具无法始终为用户提供防止 API 攻击所需防御,WAAP(网络应用程序和 API 保护)是必不可少。...当黑客利用受害者通过电子邮件提供信息,直接在公司环境中进行攻击时,WAAP 能够确保 API 被屏蔽,不会导致安全隐患。

34420

flask 应用程序编程接口(API)最后一节

这意味着,Web开发中常见无状态API,每个请求都需要包含服务器需要识别和验证客户端并执行请求信息。这也意味着服务器无法在数据库或其他存储形式存储与客户端连接有关任何数据。...为了保持组织有序,并同时我第十五章描述结构,我将创建一个包含所有API路由新blueprint。...是api.get_users,这是我表示中使用三个链接所需端点名称。...第二个复杂因素是客户端可能提供与目前绝对相同值,所以检查用户名或电子邮件是否被采用之前,我需要确保其与当前不同。如果任何验证检查失败,那么我会像之前一样返回400错误给客户端。...此路由身份验证是基于令牌,事实上,Authorization头部中发送令牌就是需要被撤销。使用撤销了User类辅助方法,该方法重新设置令牌过期日期来实现还原操作。

5K10

联合身份模式

然后,客户端应用程序可以将此令牌传递到服务,作为其标识证明。 信任链可能有额外 STS。...这增加了安全性,因为它可避免访问多个不同应用程序所需凭据创建,并且它还对除原始标识提供者外所有标识提供者隐藏用户凭据。 应用程序仅可查看令牌包含已经过身份验证标识信息。...应用程序通常需要维护注册用户一些信息,并能够将此信息与令牌声明包含标识符相匹配。 这通常通过用户首次访问应用程序时注册来完成,每次身份验证之后,信息作为附加声明注入到令牌。...STS 可以基于用户提供电子邮件地址或用户名、用户正在访问应用程序子域、用户 IP 地址范围或存储在用户浏览器 cookie 内容来自动执行此操作。...如果自动发现无法确定主页领域,则 STS 会显示列出受信标识提供主页领域发现页,用户必须选择其中之一来使用。 何时使用此模式 此模式适用于以下方案: 企业单一登录。

1.7K20

Web Security 之 CSRF

如何构造 CSRF 攻击 手动创建 CSRF 攻击所需 HTML 可能很麻烦,尤其是在所需请求包含大量参数情况下,或者在请求存在其他异常情况时。...这可以通过电子邮件或社交媒体消息向用户提供指向网站链接来实现。或者,如果攻击被放置一个流行网站(例如,在用户评论),则只需等待用户上钩即可。...由于攻击者无法确定或预测用户 CSRF token 值,因此他们无法构造出一个应用程序验证所需全部参数请求。所以 CSRF token 可以防止 CSRF 攻击。...另一种方法是将令牌放入 URL query 字符串,这种方法安全性稍差,因为 query 字符串: 记录在客户端和服务器端各个位置; 容易 HTTP Referer 头中传输给第三方; 可以在用户浏览器显示屏幕上...当其与 CSRF token 结合使用时,SameSite cookies 可以提供额外防御层,并减轻基于令牌防御任何缺陷。

2.2K10

Qos原理与配置

影响网络通信质量因素 流量类型 带宽 时延 抖动 丢包率 语音 低 高 高 低 视频 高 高 高 低 FTP ,高 低 低 高 电子邮件、http网页浏览 低 低 低 、高 1.网络带宽 单位时间内能传输数据量...串行化时延:指发送节点在传输链路上开始发送报文第一个比特至发完该报文最后一个比特所需时间。该时延取决于链路带宽以及报文大小。 处理时延:指路由器把报文从入接口放到出接口队列需要时间。...它大小跟路由处理性能有关。 队列时延:指报文队列中等待时间。它大小跟队列中报文大小和数量、带宽以及队列机制有关。...更关键是,所有网络节点都需要为每个数据流保存状态信息,而当前Internet骨干网上有着成千上万条数据流,因此IntSer模型Internet骨干网上无法得到广泛应用。 区分服务类型 ?...如果在一个流行为定义多个动作产生冲突,将出现以下情况之一: 流行为视图定义冲突动作时,系统提示错误,命令无法执行。 应用流策略时,系统提示错误,流策略应用失败。

1.6K40

NoSQL数据库主主备份

如果你想知道我和igorcoding是怎样Tarantool内部建立一个系统,请继续往下看。 如果你用过Mail.Ru电子邮件服务,你应该知道它可以从其他账号收集邮件。...如果支持OAuth协议,那么收集其他账号邮件时,我们就不需要让用户提供第三方服务凭证了,而是用OAuth令牌来代替。...expires_in)——令牌到期时间戳或任何其他预定义时间,如果你access_token到期了,你就不能继续访问所需资源。...现在我们看一下服务简单框架。设想有一些前端可以我们服务上写入和读出令牌,还有一个独立更新器,一旦令牌到期,就可以通过更新器从OAuth服务提供商获取新访问令牌。 ?...如果我们通过电子邮件分片,一部分地址存储一个分片上,另一部分地址存储另一个分片上,我们很清楚我们数据在哪里。 有两种方法可以分片。

1.2K100

计算机网络体系结构及其简单通信技术_简述计算机网络体系结构概念

令牌是一种特殊帧,需要用到令牌概念局域网网络上所有节点设备,只有得到令牌节点才能发送帧。...Interner提供常用服务: 1.E-mail服务: 电子邮件类似于普通信件,它收发过程和普通信件工作原理非常相似。...只不过,通过电子邮件服务传送邮件不是具体实物,而是电信号,因此它可以传送很多普通信件无法传送东西,例如动画。...因特网所有路由器,对于目的地址是专用地址数据报一律不进行转发。...数据进入路由器后要先从物理层上到层,转发表中找到下一跳地址后,再下到物理层转发出去。因此数据从主机1传送到主机2需要在路径各节点协议栈向上向下流动多次。

87820

计算机网络-概述

发送时延=分组长度/信道宽度 传播时延:电磁波信道传播一定距离需要花费时间,即一个比特从链路一端到另一端传播所需时间,传播时延=信道长度/电磁波信道上传播速率。...关键问题是路由选择,并实现流量控制、拥塞控制、差错控制和网际互联等功能。 差错控制:同上 拥塞控制:如果拥塞状态使得网络层两个结点无法正常通信,则采用一些措施缓解拥塞。...发送方发送数据同时通知其他站点自己传输数据所需长度。...空闲时候网络只有令牌传输。如果传到有数据要发送站点,令牌会被修改一个标志位,并带上数据成为数据帧。 继续传递过程,如果计算机检测到令牌目的地址与自己相同,会复制令牌。...6.4 电子邮件 6.4.1 电子邮件系统组成结构 电子邮件三个最主要组成构建:用户代理、邮件服务器和电子邮件使用协议(SMTP、POP3)。 用户代理UA:用户与电子邮件系统接口。

1.2K30
领券