摘要：HTTP认证 有很多认证方式，但在开始握手时，都基于401Unauthorized响应 Windows认证 认证方式 Negotiate NTLM（NT LAN Manger） 比较老，主要应用于用于Windows NT 和 Windows 2000 Server（or Later） 工作组环境。 阅读全文

摘要：CSRF攻击能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于cookie中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。 关键是验证授权用户和发起请求者是否是同一个人。 要抵御 CSRF，关键在于在请求中放入黑客所不能伪造的信 阅读全文

摘要：强制 隶属于用户个人的页面或者功能必须进行权限控制校验。 说明：防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容、修改他人的订单。 经验：水平权限问题 攻击者可以根据接口参数中的id加1等操作，来获取其他用户的权限或数据。 水平权限参数不要用自增值，用id加密、随机数 阅读全文

摘要：sql注入 代码直接用参数拼接sql，导致和union、=等恶意sql拼接成为非法sql，导致返回敏感数据或者返回成功 措施 参数进行base64编码 参数化查询 使用存储过程 stack overflow C、C++中，可以通过指针、scanf等内存操作直接操作内存，因此如果不做参数检查，就有可能 阅读全文

摘要：原理 ssh tunnel（通道） 阅读全文

摘要：技术路线 Hash等摘要算法 数字摘要 对称和非对称加密技术 数字信封 Hash等摘要算法、对称和非对称加密技术 数字签名 数字签名和CA 数字证书 数字信封、数字证书和TCP SSL/TLS 对称加密和非对称加密 对称加密也叫作私钥加密，因为加解密用的密钥是一样的，所以要保密 效率高，通常加密大规 阅读全文

摘要：1. 跨域 提供Http层的web api时，通常需要考虑跨域问题。 因为浏览器处于安全考虑，默认不允许前端页面向不是自己所在的ip/域名发起请求，因此需要服务器端指明自己允许部分或所有域名进行跨域请求 通常是在web.config中配置、web服务器中进行站点配置、根目录下方式跨域文件等方式。 最 阅读全文

摘要：与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。 权限 前端在cookie中只有session id和xsrf-token信息，在向后端发送请求时自动带上cooki 阅读全文

摘要：参考： SSH公钥登录原理 比如git可以生成公钥，然后用有权限的账户把他加到仓库上，以后就可以通过公钥登陆了。不需要像https那样需要有账号，但是权限管理就不细了。 有时候如果仓库上添加了多个公钥，会是旧的生效，那么就可能会导致git连不上，需要删掉旧的。为什么？按理说可以多个啊，难道因为多个机 阅读全文

摘要：参考： "水平权限漏洞以及解决方法" "横向越权与纵向越权" 横向越权与纵向越权 横向越权：横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权：纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源 如何防止横向越权漏洞： 可通过建立用户和可操作资源的绑定关系，用户对任何资源进行操作 阅读全文

摘要：key的位数固定为32个字符，也就是512位 注意对末尾为0的要特殊处理，否则会少一位？？ public static string AesEncrypt(string str, string key) { if (string.IsNullOrEmpty(str)) return null; By 阅读全文