随笔分类 -  网络安全

摘要：引用: https://blog.csdn.net/gjb724332682/article/details/54428808在开发 OAuth认证服务器 的时候，开发者的安全意识不高的话，很可能会忽略 state 参数，从而导致 出现 csrf 漏洞。但是在说明这个state参数前，有必要了解大部分程序员所写的绑定OAuth账号流程，由于绑定流程很多，这里挑最常见的“用户在第三方网站A上登录后，... 阅读全文

摘要：fiddler的http、https的抓包功能非常强大，可非常便捷得对包进行断点跟踪和回放，但是普通的配置对于像招商银行、支付宝、陌陌这样的APP是抓不到包的，需要一些特殊的配置，本文把fiddler Android下https抓包的详细配置都罗列出来，供大家参考。 一、普通https抓包设置 先对Fiddler进行设置: 勾选“CaptureHTTPS CONNECTs”，接着勾选“D... 阅读全文

摘要：一.CSRF是什么？ CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 二.CSRF可以做什么？ 你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于... 阅读全文