密码学基础:哈希、加盐与密钥派生

密码学基础:哈希、加盐与密钥派生 网络安全系列 · 认证与授权篇 密码学是现代网络安全的基石。从登录密码的存储到 HTTPS 握手,从数字签名到区块链,密码学无处不在。但很多开发者对密码学的理解停留在"用 MD5 哈希一下"的层面,这恰恰是安全漏洞的温床。 本文将深入讲解密码学的三大核心概念:哈希函
作者:Yolo
分类: 网络安全

Session管理安全:从Cookie到Token

Session管理安全:从Cookie到Token 网络安全系列第12篇 | 认证与授权篇·第4章 Session管理是Web应用安全的核心环节。用户登录后,服务器需要一种机制来识别后续请求来自同一用户——这就是Session。从早期的Cookie-Session到现代的Token机制,Sessio
作者:Yolo
分类: 网络安全

SSO单点登录安全:CAS与SAML攻防

SSO单点登录安全:CAS与SAML攻防 网络安全系列 · 认证与授权篇 单点登录(Single Sign-On,SSO)是现代企业系统的标配。用户只需一次认证,就能访问多个应用——体验确实好,但安全边界也因此被拉长了。一旦 SSO 体系被攻破,攻击者拿到的不是某个应用的权限,而是整片系统的钥匙。
作者:Yolo
分类: 网络安全

UDP协议:无连接传输的速度与取舍

UDP协议:无连接传输的速度与取舍 在上一篇 TCP 协议的文章中,我们详细探讨了面向连接、可靠传输的设计哲学。但网络世界并非只有 TCP 一种选择。今天,我们来聊聊它的"兄弟"——UDP(User Datagram Protocol,用户数据报协议)。 如果说 TCP 是一位严谨认真的快递员,确保
作者:Yolo
分类: 网络协议

OAuth2.0安全:授权流程的攻击面

OAuth2.0安全:授权流程的攻击面 OAuth2.0 是现代 Web 应用最常用的授权协议,但它也是攻击者的重点目标。理解 OAuth2.0 的攻击面,对保护用户数据至关重要。 OAuth2.0 基础流程 标准的授权码流程(Authorization Code Flow)包含四个角色: 资源所有
作者:Yolo
分类: 网络安全

JWT安全:令牌伪造、篡改与防御

JWT安全:令牌伪造、篡改与防御 什么是JWT JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。JWT由三部分组成:Header、Payload和Signature,通过.连接。 eyJhbGciOiJIUzI1NiIsInR5
作者:Yolo
分类: 网络安全

路径遍历与文件包含:目录穿越的攻击

路径遍历与文件包含:目录穿越的攻击 网络安全系列第9篇 | Web安全基础 目录 什么是路径遍历 文件包含漏洞 攻击原理与利用 真实案例 防御方案 总结 什么是路径遍历 路径遍历(Path Traversal),也叫目录穿越(Directory Traversal),是一种利用应用程序对文件路径处理
作者:Yolo
分类: 网络安全

HTTP参数污染:重复参数的解析差异

HTTP参数污染:重复参数的解析差异 什么是HTTP参数污染 HTTP参数污染(HPP, HTTP Parameter Pollution)是一种利用Web应用对同名参数处理逻辑不一致的攻击技术。当客户端在HTTP请求中提交多个同名参数时,不同的服务器组件(如Web服务器、WAF、应用框架、后端服务
作者:Yolo
分类: 网络安全

路径遍历与文件包含:目录穿越的攻击

路径遍历与文件包含:目录穿越的攻击 网络安全系列第9篇 | Web安全基础 目录 什么是路径遍历 文件包含漏洞 攻击原理与利用 真实案例 防御方案 总结 什么是路径遍历 路径遍历(Path Traversal),也叫目录穿越(Directory Traversal),是一种利用应用程序对文件路径处理
作者:Yolo
分类: 网络安全

XXE外部实体注入:XML解析的隐患

XXE外部实体注入:XML解析的隐患 XML 作为一种通用的数据交换格式,被广泛应用于 Web 服务、配置文件、文档格式(如 Office Open XML、SVG)等场景。然而,XML 解析器对外部实体的默认支持,却为攻击者打开了一扇危险的大门——XML External Entity(XXE)注
作者:Yolo
分类: 网络安全
共 45 篇文章