迪菲赫尔曼密钥交换是一种可以在通信双方之间安全交换密钥的方法。这种方法通过将双方共有的密码数值隐藏在公开数值相关的运算中，来实现双方之间密钥的安全交换。 假设有一种方法可以合并这两个密钥。使用这种方法来合并密钥P和密钥S，就会得到由这两个密钥的成分所构成的密钥P-S。 这种合成…

数据加密是信息时代互联网安全的前提，本文通过一个简单的故事，带您深入浅出，抽丝剥茧了解共享密钥，对称式加密和非对称式加密原理。

Session 是应用系统对浏览器客户端身份认证的属性标识，在用户退出应用系统时，应将客户端Session认证属性标识清空。如果未能清空客户端 Session 标识，在下次登录系统时，系统会重复利用该Session标识进行认证会话。攻击者可利用该漏洞生成固定Session会话，…

Hello，AV8D～今天我们要分享的主题是前端Web安全。web安全的重要性不言而喻，是所有互联网企业都绕不开的话题。 在web前端领域，尽管浏览器已经在系统层面帮我们做了诸多的隔离和保护措施，但是网页代码开放式的特点和html、JS的语言特性使得黑客们依然有非常多的可乘之机…

定义：安全性测试是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患，并检查应用程序对非法侵入的防范能力，根据安全指标不同测试策略也不同。 1.发布前需要对发布包进行一次杀毒。 2.服务器需要安装杀毒软件并…

0. 信息搜集——Google Hack 通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email、子域名、主机、雇员名、开放端口、banner等信息。类似还有metagoofil 1. 目标获取 2. 主机扫描 3. 主机探测 4. 指纹识别 pOf，不会向目标发…

通常来说单纯的权限控制页面测试不复杂，但是因为权限控制和后续的URL跳转、Session等方面结合的比较紧密，所以单独提出来。 由于1=1恒等式的存在，这条sql会直接查询出整个表的数据；就算没有相关权限，服务器也会认为是一个有效用户进行处理。 那么结果会是什么样呢？User这…

众所周知软件测试分为四大类型，分别是：功能测试、自动化测试、安全测试和性能测试，而安全测试是在功能测试和自动化测试之后，性能测试之前执行的，以免安全测试后修改的一些问题会影响性能。

Web 安全的对于 Web 从业人员来说是一个非常重要的课题，所以在这里总结一下 Web 相关的安全攻防知识，希望以后不要再踩雷，也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。 也许你对所有的安全问题都有一定的认识，但最主…