聚合国内IT技术精华文章,分享IT技术精华,帮助IT从业人士成长

  • 2669 views阅读

    使用Selenium Wire访问网站时提示"您与此网站之间建立的连接不安全"的解决办法

    这个问题是由于Selenium Wire使用了自己的证书来访问网站,而它的证书默认不受Chrome信任。 在Chrome里查看证书可以看到: 解决办法: ➤ 导出Selenium Wire的证书文件 在安装Selenium Wire的Python环境里执行: python -m seleniumwire extractcert 成功的话,会在当前目录下生成 ca.crt 证书...

    分类:技术文章 时间:2022-02-16 00:35 我要评论(0个)

  • 2919 views阅读

    网络数字身份认证术

    这篇文章是《HTTP API 认证授权术》的姊妹篇,在那篇文章中,主要介绍了 HTTP API 认证和授权技术中用到的 HTTP Basic, Digest Access, HMAC, OAuth, JWT 等各种方式,主要是 API 上用到的一些技术,这篇文章主要想说的是另一个话题——身份认证。也就是说,怎么确认这个数据就是这个人发出来的? 用户密码 要解决这个问题,我们先来看一个最简单...

    分类:技术文章 时间:2022-01-02 17:10 我要评论(0个)

  • 5561 views阅读

    HTTP API 认证授权术

    我们知道,HTTP是无状态的,所以,当我们需要获得用户是否在登录的状态时,我们需要检查用户的登录状态,一般来说,用户的登录成功后,服务器会发一个登录凭证(又被叫作Token),就像你去访问某个公司,在前台被认证过合法后,这个公司的前台会给你的一个访客卡一样,之后,你在这个公司内去到哪都用这个访客卡来开门,而不再校验你是哪一个人。在计算机的世界里,这个登录凭证的相关数据会放在两种地方,一个地...

    分类:技术文章 时间:2019-10-19 00:05 我要评论(0个)

  • 7915 views阅读

    保障IDC安全:分布式HIDS集群架构设计

    背景 近年来,互联网上安全事件频发,企业信息安全越来越受到重视,而IDC服务器安全又是纵深防御体系中的重要一环。保障IDC安全,常用的是基于主机型入侵检测系统Host-based Intrusion Detection System,即HIDS。在HIDS面对几十万台甚至上百万台规模的IDC环境时,系统架构该如何设计呢?复杂的服务器环境,网络环境,巨大的数据量给我们带来了哪些技术挑战呢? ...

    分类:技术文章 时间:2019-10-18 16:40 我要评论(0个)

  • 10442 views阅读

    谈谈微信支付曝出的漏洞

    一、背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址;http://seclists.org/fulldisclosure/2018/Jul/3 二、漏洞原理 1.  XXE漏洞 此次曝出...

    分类:技术文章 时间:2018-07-06 16:45 我要评论(0个)

  • 14421 views阅读

    我见过的那些愚蠢的安全漏洞

    【导读】:知名安全技术博主 Tony Hunt 吐槽了一些正规公司、正规网站的安全漏洞:HTTP + cookie 里明文存放用户名密码;输入用户名与生日就能重设密码;密保问题;邮箱绑定个人信息等等。 我的朋友 Lars Klint 发过这条推:「你的密码并不是独一无二的」 (附图中的提示为:密码已经被 XXX 使用。请换一个。) 我顺手把它转发了出去,因为我知道还有比这更疯狂的事情。...

    分类:技术文章 时间:2017-12-18 21:10 我要评论(0个)

  • 10085 views阅读

    开发团队面临的 3 大安全挑战

    应用安全不能只依靠防火墙,必须要在应用开发阶段采取适当的安全控制措施,使得应用在发布上线前就具备较好的安全性,避免人为失误造成安全隐患。 不少企业早就意识到了这一点,然而理想和现实之间还隔着几十个安全漏洞,尤其是那些采用敏捷或者精益开发模式的团队,在具体的实践过程中,几乎无可避免的会遭遇到下面几个挑战。 挑战1:一次性的安全检查无法匹配持续性的交付 为确保团队开发出来的应用具有足够的安全...

    分类:技术文章 时间:2017-07-27 11:35 我要评论(0个)

  • 13041 views阅读

    避免持续集成(CI)成为一个安全隐患

    背景 最近临时交接了一个客户测试环境和产品环境的维护工作。交接的客户资产包含:代码库、生产环境主机、测试环境主机、搭建在测试环境主机上的持续集成服务器以及对应的账号密码。这个持续集成服务器采用Jenkins搭建,并且可以用来部署测试环境和生产环境的应用。 不久,接到了客户的一个维护请求:把最新的生产环境数据同步到测试环境里。 这个维护任务需要通过SSH登录到测试环境主机上进行操作。测试...

    分类:技术文章 时间:2017-07-25 17:35 我要评论(0个)

  • 10481 views阅读

    做 Web 开发必备的安全核对清单

    如果能按照本文的这个清单来实践,就能将网络安全方面的风险降得很低。 Web开发人员安全清单 在云端开发安全又健壮的 Web 应用非常难。如果你认为这很容易,那你技术水平要么已经很牛叉,要么还没有踩过坑。 如果你盲目接受最简可行产品(Minimum Viable Product,简称 MVP),并且认为你能在一个月之内创建一个既有价值又安全的产品,那么在你推出你的“产品原型”前,你还需要多...

    分类:技术文章 时间:2017-06-11 02:10 我要评论(0个)

  • 13161 views阅读

    我是如何意外阻止了勒索病毒的全球攻击

    【伯乐在线导读】:5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,中国国内校园网也出现大面积感染。请见我们昨天的推文:《全球爆发计算机勒索病毒(包含应急防范措施)》。 WannaCrypt 勒索病毒开始肆虐后 ,英国的网络安全人员 MalwareTech 博主分析发现,该病毒都会访问一个域名 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwerg...

    分类:技术文章 时间:2017-05-14 22:50 我要评论(0个)

  • 16444 views阅读

    从某网站的支付泄漏看安全实践

    安全事故 2014年乌云网发布了某旅行网站(以下简称X网站)的安全支付漏洞,X网站因长时间打开支付服务调试接口,导致用户信用卡信息面临泄露风险;在针对其进行进一步的扫描后,乌云发现X网站的分站源代码可打包下载,其数据库配置和支付接口因此被直接泄露。 (图片来自:http://t.cn/Rt7siGq) 在X网站所泄漏的数据中,最引人关注的当属信用卡的CVV码。由于大量国外网站可以直接通...

    分类:技术文章 时间:2017-04-01 03:40 我要评论(0个)

  • 20546 views阅读

    防范 CSRF 跨站请求伪造

    CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式提供一些可供参考的方案,希望广大程序猿们都能够对这种攻...

    分类:技术文章 时间:2017-03-02 07:05 我要评论(0个)