前言
书籍阅读笔记
《图解HTTP》[ 日 ] 上野宣 著
HTTPS
HTTPS(HTTP Secure):添加了加密及认证机制的 HTTP
-
用 SSL 和 TLS 协议代替 HTTP 通信接口部分
-
TSL(IETF)是以 SSL(网景通信公司)为原型开发的协议
-
其他运行在应用层的 SMTP 等协议均可配合 SSL 协议使用
-
-
使用公开 / 非对称密钥加密方式传输共享 / 对称密钥(SSL建立安全信道),再使用共享密钥加密报文,进行通信
-
并非所有内容都加密通信,非敏感信息仍使用 HTTP,节约CPU和内存等资源
| HTTP 的缺点 | 可能的攻击 | HTTPS 解决 |
|---|---|---|
| 通信使用明文 | 内容被窃听 | SSL 加密通信线路 |
| 不验证通信方的身份 | 伪装客户端 / 服务器 越权(权限)访问 DoS(Denial of Service,拒绝服务)攻击 | SSL 证书认证 |
| 无法确认报文的完整性 | 内容被篡改,即中间人攻击 | SSL 生成 MAC 报文摘要(数字签名) |
Web 攻击技术
开发者需要自行设计认证、会话管理功能来满足 Web 应用的安全
在 HTTP 请求报文内加载攻击代码:URL 查询字段或表单、HTTP 首部、Cookie 等
主动攻击(active attack)
- SQL 注入攻击
- OS 命令注入攻击:执行非法的操作系统命令
被动攻击(passive attack):通过攻击用户的方式来攻击 Web 服务器
- 跨站脚本攻击
- 跨站点请求伪造
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
