你可能听说过“中间人攻击(MiTM)”这个词,甚至可能对它还存在一个模糊的概念。但是,你仍旧会想“到底什么才是中间人攻击?”下面这篇文章就将为您提供解答。总的来说,中间人(man-in-the-mid...
借助 HSTS 来利用 Android 客户端 WebView
我在印度尼西亚流行的 Android 应用 Tokopedia中发现了一键账户接管漏洞。该漏洞链涉及 URI 解析问题和自定义 WebView,但最终只能使用托管在 Google HSTS 预加载列表...
Chrome 通过HSTS强制使用 HTTPS
HSTS 简介国际互联网工程组织 IETE 正在推行一种新的 Web 安全协议 HTTP Strict Transport Security(HSTS)采用 HSTS 协议的网站将保证浏览器始终连接到...
将域名加入 HSTS Preload List
什么是 HSTS大家可以参考我之前写的博文,里面有对 HSTS 的简介Chrome 通过 HSTS 强制使用 HTTPSRFC 6797一点小小的不足以我的网站为例,我来讲讲不足的地方。假设一个用户从...
http-header安全字段总结
这是整理网络上的各处内容的总结,有官方文档、有常见经验。在本文中,我将讨论应在Web服务器上配置哪些重要的HTTP标头,以提高服务器安全性。你将了解每个标头的作用是什么,以及利用其错误配置可以实施哪些...
URLMon应用实践(6):知易行难,HTTPs的安全配置检测
1 系 统 概 况 &nb...
最熟悉的陌生人——基于共享证书的HTTPS上下文混淆攻击实证研究(一)
论文题目:Talking with Familiar Strangers: An Empirical Study on HTTPS Context Confusion Attacks (本文为ACM ...
关闭常见浏览器的HSTS功能
HSTS简介 HSTS代表的是HTTPS严格传输安全协议,它是一个网络安全政策机制,能够强迫浏览器只通过安全的HTTPS连接(永远不能通过HTTP)与网站交互。这能够帮助防止协议降级攻击和cooki...