点击劫持与UI伪装:视觉欺骗的攻击

点击劫持与UI伪装:视觉欺骗的攻击 在Web安全的世界里,有一种攻击不依赖代码漏洞,却能轻易操控用户行为——它就是点击劫持(Clickjacking)。这种攻击通过视觉欺骗,让用户在不知情的情况下点击了隐藏的恶意按钮,完成攻击者预设的操作。本文将深入剖析点击劫持的原理、变种、防御方法以及真实案例。
作者:Yolo
分类: 网络安全

业务逻辑漏洞:越权、遍历与条件竞争

业务逻辑漏洞:越权、遍历与条件竞争 网络安全系列 · 前端与浏览器安全篇 一、什么是业务逻辑漏洞? 业务逻辑漏洞(Business Logic Vulnerability)是指应用程序在实现业务功能时,由于设计或编码缺陷导致的安全问题。与SQL注入、XSS等技术漏洞不同,业务逻辑漏洞不依赖于特定的输
作者:Yolo
分类: 网络安全

API密钥安全:泄露、滥用与防护

API密钥是现代应用架构中最常用的认证方式之一。从调用第三方服务到微服务间通信,密钥无处不在。但正是这种普遍性,让它成为攻击者的重点目标。 一、API密钥的工作原理 API密钥本质上是一个字符串标识符,用于识别调用方身份并控制访问权限。典型的使用方式是在HTTP请求头中携带: Authorizati
作者:Yolo
分类: 网络安全

密码重置漏洞:从邮箱到手机的攻击链

密码重置功能几乎是每个 Web 应用的标配,但正是这个"贴心"的功能,成了攻击者最喜欢利用的入口。从猜答案到劫持邮箱,从批量重置到绕过多因素认证,密码重置漏洞的攻击面远比想象中大。 密码重置的常见实现方式 现代应用通常提供以下几种密码重置途径: 邮箱验证:发送重置链接或验证码到注册邮箱 短信验证:发
作者:Yolo
分类: 网络安全

多因素认证MFA:绕过与防御

多因素认证MFA:绕过与防御 网络安全系列(完整版)· 认证与授权 多因素认证(Multi-Factor Authentication, MFA)是现代身份验证体系的最后一道防线。它要求用户提供两种或以上的独立凭证,通常分为:你知道的(密码)、你拥有的(手机/令牌)、你是什么(生物特征)。然而,MF
作者:Yolo
分类: 网络安全

密码学基础:哈希、加盐与密钥派生

密码学基础:哈希、加盐与密钥派生 网络安全系列 · 认证与授权篇 密码学是现代网络安全的基石。从登录密码的存储到 HTTPS 握手,从数字签名到区块链,密码学无处不在。但很多开发者对密码学的理解停留在"用 MD5 哈希一下"的层面,这恰恰是安全漏洞的温床。 本文将深入讲解密码学的三大核心概念:哈希函
作者:Yolo
分类: 网络安全

Session管理安全:从Cookie到Token

Session管理安全:从Cookie到Token 网络安全系列第12篇 | 认证与授权篇·第4章 Session管理是Web应用安全的核心环节。用户登录后,服务器需要一种机制来识别后续请求来自同一用户——这就是Session。从早期的Cookie-Session到现代的Token机制,Sessio
作者:Yolo
分类: 网络安全

SSO单点登录安全:CAS与SAML攻防

SSO单点登录安全:CAS与SAML攻防 网络安全系列 · 认证与授权篇 单点登录(Single Sign-On,SSO)是现代企业系统的标配。用户只需一次认证,就能访问多个应用——体验确实好,但安全边界也因此被拉长了。一旦 SSO 体系被攻破,攻击者拿到的不是某个应用的权限,而是整片系统的钥匙。
作者:Yolo
分类: 网络安全

OAuth2.0安全:授权流程的攻击面

OAuth2.0安全:授权流程的攻击面 OAuth2.0 是现代 Web 应用最常用的授权协议,但它也是攻击者的重点目标。理解 OAuth2.0 的攻击面,对保护用户数据至关重要。 OAuth2.0 基础流程 标准的授权码流程(Authorization Code Flow)包含四个角色: 资源所有
作者:Yolo
分类: 网络安全

JWT安全:令牌伪造、篡改与防御

JWT安全:令牌伪造、篡改与防御 什么是JWT JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。JWT由三部分组成:Header、Payload和Signature,通过.连接。 eyJhbGciOiJIUzI1NiIsInR5
作者:Yolo
分类: 网络安全
共 31 篇文章