代码改变世界

随笔分类 - Security

浅析HSTS

2017-10-23 18:11 by hyddd, 1185 阅读, 收藏, 编辑
摘要:HSTS全称:HTTP Strict Transport Security,意译:HTTP严格传输安全,是一个Web安全策略机制。 阅读全文

浅析Diffie–Hellman

2017-10-18 21:31 by hyddd, 4666 阅读, 收藏, 编辑
摘要:这个密钥交换方法,由惠特菲尔德·迪菲(Bailey Whitfield Diffie)、马丁·赫尔曼(Martin Edward Hellman)于1976年发表。 阅读全文

跨入安全的殿堂--读《Web入侵安全测试与对策》感悟

2009-09-09 11:33 by hyddd, 4882 阅读, 收藏, 编辑
摘要:前言 最近读完了《Web入侵安全测试与对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。 阅读全文

Html的安全隐患

2009-07-05 02:26 by hyddd, 8019 阅读, 收藏, 编辑
摘要: 最近这段时间一直在研究HTML和JavaScript的安全问题,这里先整理一下Html的安全隐患。 阅读全文

深入理解JavaScript Hijacking原理

2009-07-02 18:45 by hyddd, 15441 阅读, 收藏, 编辑
摘要: 最近在整理关于JavaScript代码安全方面的资料,在查关于JackScript Hijacking的资料时,发现关于它的中文资料很少,故特意整理一下。 阅读全文

浅谈CSRF攻击方式

2009-04-09 22:44 by hyddd, 330301 阅读, 收藏, 编辑
摘要:CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。...... 阅读全文

[ZZ]渗透测试(Penetration Testing)

2009-03-22 18:19 by hyddd, 2292 阅读, 收藏, 编辑
摘要: 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hacking),因此我们这里的所有读者应当都是Ethical Hackers,如果您还不是,那么我希望您到过这里后会成为他们中的一员 ;)。 原文:http://www.cnblogs.com/allyesno/articles/1288841.html 阅读全文

用Fortify SCA分析代码漏洞

2009-02-23 21:51 by hyddd, 48144 阅读, 收藏, 编辑
摘要:hyddd原创,转载请说明。 上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具:Fortify SCA Demo 4.0.0。Fortify是一个在安全方面挺出名的公司,这里就不多说了。先介绍一下主角:Fortify SCA Demo 4.0.0,虽然现在不知道Fortify SCA的版本是多少,但可以肯定的是,Fortify SCA Demo 4.0.0是一个比较旧的For... 阅读全文

网络嗅探技术浅析

2009-01-21 16:14 by hyddd, 11143 阅读, 收藏, 编辑
摘要:一.嗅探可以做什么?为什么需要嗅探? 嗅探(sniff),就是窃听网络上流经的数据包,而数据包里面一般会包含很多重要的私隐信息,如:你正在访问什么网站,你的邮箱密码是多少,你在和哪个MM聊QQ等等......而很多攻击方式(如著名的会话劫持)都是建立在嗅探的基础上的。 二.嗅探技术 在集线器盛行的年代,要做嗅探是件相当简单的事情,你什么事情都不用干,集线器自动会把别人的数据包往你机器上发。... 阅读全文

浅析数字证书

2009-01-07 17:49 by hyddd, 11691 阅读, 收藏, 编辑
摘要:hyddd原创,转载请说明出处:> 最近看会Session hijack的东西,劫持现在已经实现,yahoo等一些没有用Https协议的邮箱被成功地劫持了(迟下发文章),由于对Https不熟悉,所以看了一下为什么Https的会话不能劫持。 本文主要介绍的SSL中的涉及到的"数字证书"这个东东。 一.什么是数字证书? 数字证书是一种权威性的电子文档。它提供了一种在Internet上验... 阅读全文

Arp攻击实战

2009-01-04 16:54 by hyddd, 55834 阅读, 收藏, 编辑
摘要:hyddd原创,转载请说明出处。 现在网上很多关于ARP攻击的文章,但多数是描述其原理,少数会以某个工具作为例子展开说明,但感觉说的还是不够详细,今天写个文章以实战介绍一个叫“WinArpAttacker”的工具。 WinArpAttacker是一个很出名的ARP攻击工具,功能也很强大,没有用过的朋友可以在上网搜一下,下载这里就不提供了。这里先简单介绍一下这工具的基本用法(如果对于ARP... 阅读全文

Arp小记

2009-01-04 13:54 by hyddd, 8489 阅读, 收藏, 编辑
摘要:ARP:Address Resolution Protocol 地址解析协议。 RARP:Reverse Address Resolution Protocol 逆向地址解析协议。 不同的网络,如以太网,令牌网...,在数据链路层都有不同的寻址机制。 在以太网的局域网中,一台主机和另外一台主机通信发包,是根据48bit的以太网地址来确定目的接口的,设备驱动程序从不检查IP数据报中的目的IP... 阅读全文

Session小记

2008-12-29 16:56 by hyddd, 796 阅读, 收藏, 编辑
摘要:看了一些Session的资料,在这里再总结一下Session相关的知识(很多是从网上搜集的资料)。 1.Session是什么? session,中文经常翻译为会话。 (1).打个比方:比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。同理,用户的一次Session可以理解为:打开这个网站到关闭这个网站的一系列动作。 (2).然而当session一词与... 阅读全文

Cookie小记

2008-12-26 17:32 by hyddd, 1350 阅读, 收藏, 编辑
摘要:最近在工作上经常看一些安全相关的东西,Cookie以前看过,但了解不深,现在重看,先记录一下。 以下有一些资料是转至百度百科(发现百度百科做的越来越好了,赞一个),有一些是自己的总结: 1.Cookie是什么? 可以先这么理解,它是在你计算机里的一个文件 (看得见实物总比抽象的概念来得容易理解),IE存放Cookie文件的地方是:“C:\Documents and Settings\用... 阅读全文

[hyddd安全性测试笔记2]浅淡静态代码分析工具

2008-12-16 21:37 by hyddd, 8918 阅读, 收藏, 编辑
摘要:本帖hyddd原创,转载请标明,谢谢8>~ 这两天看关于静态代码扫描的东东,一开始没什么头绪,搜了一下发现N多东西,整理一下写成文档,由于资料太多,还有很多东西没写上去。 静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):“静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、... 阅读全文

[hyddd安全性测试笔记1]URL Encode and URL Decode

2008-12-16 21:00 by hyddd, 990 阅读, 收藏, 编辑
摘要:最近在看安全性测试相关的资料,刚开始看,很多东西发现自己都不会:System.Web.HttpUtility.UrlDecodeSystem.Web.HttpUtility.UrlEecode 阅读全文