摘要: 保护网页按钮不被 XSS 自动点击。前端:用跨源 iframe 充当按钮,并且实现 AJXA 发送功能;后端:校验请求 referer 字段是否为 iframe url。阅读全文
posted @ 2017-05-26 10:35 EtherDream 阅读(1008) 评论(1) 编辑
摘要: 密码学 Hash 算法拥有哪些特征,可抵抗 GPU 等硬件设备的破解?阅读全文
posted @ 2017-02-22 12:12 EtherDream 阅读(1868) 评论(2) 编辑
摘要: 账号认证数据库中,不存储 用户名和 hash(密码),而是 hash(用户名, 密码) 。这样就能防止拖库后,被攻击者轻易找到某个账号对应的 hash 密码。阅读全文
posted @ 2016-11-25 11:54 EtherDream 阅读(2124) 评论(32) 编辑
摘要: 用 JS 实现一个字节码模拟器,于是就可以使用传统的混淆方案,来保护浏览器前端的程序逻辑阅读全文
posted @ 2016-09-17 16:59 EtherDream 阅读(2873) 评论(10) 编辑
摘要: 中间人往前端页面注入 HTML,诱导浏览器加载第三方站点的资源,让目标站点的 Cookie 通过 HTTP 头送上流量,从而被中间人截获。同时加载各大网站,即可瞬间截获大量 Cookie。阅读全文
posted @ 2016-09-07 14:26 EtherDream 阅读(959) 评论(4) 编辑
摘要: 尝试将 MOS 6502 CPU 指令翻译成 JavaScript,直接在浏览器中运行。阅读全文
posted @ 2016-07-05 19:56 EtherDream 阅读(1534) 评论(3) 编辑
摘要: 后台储存账号口令时,用十分复杂的 Hash 组合有没有意义?能否用更简单但同样有效的方式代替?阅读全文
posted @ 2016-06-04 11:32 EtherDream 阅读(972) 评论(2) 编辑
摘要: 利用 canvas 能导出 PNG 的功能,将数据储存在像素中,实现无损压缩阅读全文
posted @ 2016-03-14 16:06 EtherDream 阅读(4436) 评论(12) 编辑
摘要: JavaScript 防火墙下篇阅读全文
posted @ 2016-03-06 19:37 EtherDream 阅读(3321) 评论(20) 编辑
摘要: 曾经鼓捣的一个有趣项目,用 JavaScript 参与的网络防火墙。阅读全文
posted @ 2016-03-06 19:35 EtherDream 阅读(7696) 评论(14) 编辑
摘要: 将 C 编译成 JavaScript,在 Web 中优雅的使用二进制格式。阅读全文
posted @ 2016-01-23 18:22 EtherDream 阅读(8596) 评论(13) 编辑
摘要: 通过计算高强度的问题,来增加滥用成本。阅读全文
posted @ 2015-12-29 16:49 EtherDream 阅读(3201) 评论(18) 编辑
摘要: 用户贡献少量的计算资源,将密码在前端进行大量反复的 Hash。使得数据泄露后,大幅增加破解成本。阅读全文
posted @ 2015-11-27 10:35 EtherDream 阅读(10234) 评论(44) 编辑
摘要: 上传对话框不仅仅用于选择文件,而是直接授权了脚本对本地的文件访问阅读全文
posted @ 2015-08-26 20:18 EtherDream 阅读(9232) 评论(11) 编辑
摘要: 拒绝服务必须对服务器发起攻击吗?利用 HTTP 的一些特性,可以实现一个本地版的站点屏蔽攻击。阅读全文
posted @ 2015-06-03 07:40 EtherDream 阅读(13122) 评论(45) 编辑
摘要: 怎样的中奖算法能让人信服?阅读全文
posted @ 2015-05-05 21:36 EtherDream 阅读(7271) 评论(18) 编辑
摘要: 不少 Flash 开发人员,只考虑 SWF 被网页嵌套的情况,却忽视了还可以被其他 SWF 嵌套。于是埋下了严重的安全隐患。阅读全文
posted @ 2015-04-17 21:28 EtherDream 阅读(6273) 评论(4) 编辑
摘要: 在验证码的渲染上做一点把戏,从而揪出使用外挂的用户阅读全文
posted @ 2015-03-22 17:41 EtherDream 阅读(17652) 评论(66) 编辑
摘要: 当年大学里的一段趣事,只用一根网线断掉整个楼的网络阅读全文
posted @ 2015-03-17 12:40 EtherDream 阅读(61648) 评论(256) 编辑
摘要: HSTS 一定程度上解决了 HTTPS 劫持的问题,但仍有躲避的方法阅读全文
posted @ 2015-03-13 17:19 EtherDream 阅读(10407) 评论(6) 编辑