前言 在之前介绍的流量劫持文章里,曾提到一种『HTTPS 向下降级』的方案 -- 将页面中的 HTTPS 超链接全都替换成 HTTP 版本,让用户始终以明文的形式进行通信. 看到这,也许大家都会想到一个经典的中间人攻击工具 -- SSLStrip,通过它确实能实现这个效果. 不过今天讲解的,则是完全不同的思路,一种更有效.更先进的解决方案 -- HTTPS 前端劫持. 后端的缺陷 在过去,流量劫持基本通过后端来实现,SSLStrip 就是个典型的例子. 类似其他中间人工具,纯后端的实现只能操控最…

前言 在之前介绍的流量劫持文章里,曾提到一种『HTTPS 向下降级』的方案 —— 将页面中的 HTTPS 超链接全都替换成 HTTP 版本,让用户始终以明文的形式进行通信. 看到这,也许大家都会想到一个经典的中间人攻击工具 —— SSLStrip,通过它确实能实现这个效果. 不过今天讲解的,则是完全不同的思路,一种更有效.更先进的解决方案 —— HTTPS 前端劫持. 后端的缺陷 在过去,流量劫持基本通过后端来实现,SSLStrip 就是个典型的例子. 类似其他中间人工具,纯后端的实现只能操控最…

首先,展望未来趋势我们就要弄懂过去的一年,也就是18年,web前端开发的重要新闻.重要事件和JavaScript的各种流行框架.模式发展趋势. 我们来快速回顾一下. NPM热门前端框架下载 先来看最热门的几个框架npm下载量图 图里不难看出 十年霸主 jquery 依然稳定吗而且还有略高的上扬趋势,这可能亚太地区提供了不少帮助,毕竟很多老项目还是很依赖jquery. React继续其统治地位无人能及. React多年来一直主导Web开发,2018年它根本没有放慢速度.根据Stackoverflo…

原文团队掘金平台:https://juejin.im/post/6891532248269783054 EMP项目github链接: https://github.com/efoxTeam/emp EMP教程整理: https://github.com/efoxTeam/emp/wiki 目前,EMP微前端方案已经在github开源了,可以立即开箱使用.具体详细的教程文档也在wiki更新,敬请期待. 什么是微前端 做好前端开发不是件容易的事情,而比这更难的是扩展前端开发规模以便于多个团队可以同时…

环境准备:kali系统 因为kali系统自带ettercap,比较方便, 不需要安装 ifcofing命令查看当前网关 ,当前的IP是: 172.16.42.1 查找局域网所有主机 通过netdiscover获取到当前目标IP:172.16.42.131 启动ettercap 启动ettercap , wlan0为网卡端口, -T为文字显示, -M art:remote为双向arp欺骗, /172.16.42.131//为攻击的目标机器IP , /172.16.42.1//为网关地址(注, 在不…

Ettercap是一个非常强大的嗅探欺骗工具:在以往的ettercap的使用过程中,我们大多用来嗅探http,ftp,和一些加密比较简单的邮箱等的密码,对于新型的ssl/https等的加密协议就显得不是太完美:这里我们使用一款专门针对ssl/https加密协议的工具配合Ettercap进行局域网嗅探欺骗:sslstrip. 以下方法均来自互联网,这里只是记录一下笔者自己使用过程! 1.开启转发: echo "1">/proc/sys/net/ipv4/ip_forward 2.i…

前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 从本质上讲,SSLStrip 这类工具的技术含量是很低的.它既没破解什么算法,也没找到协议漏洞,只是修改和代理了明文的封包而已. 如果说劫持,要保持源站点不变才算的话,那 SSLStrip 并没做到.根据同源的定义,<协议, 主机名, 端口> 三者必须相同.显然它修改了协议,因此并非在源站点上劫持…

前言 之前介绍了一些前后端结合的中间人攻击方案.由于 Web 程序的特殊性,前端脚本的参与能大幅弥补后端的不足,从而达到传统难以实现的效果. 攻防本为一体,既然能用于攻击,类似的思路同样也可用于防御.如果将前端技术结合到传统的 WAF 中,又能有如何的改进? 假人的威胁 简单易用,是 Web 服务最大的优势.然而,这也是个致命的弱点. 这种格式简单.标准一致的特征,使得攻击者能利用现有的安全工具,进行大规模.通用化的探测和入侵.甚至无需了解其中的原理. 试想一下,如果某个网站使用私有的二进制协议…

前言 之前介绍了一些前后端结合的中间人攻击方案.由于 Web 程序的特殊性,前端脚本的参与能大幅弥补后端的不足,从而达到传统难以实现的效果. 攻防本为一体,既然能用于攻击,类似的思路同样也可用于防御.如果将前端技术结合到传统的 WAF 中,又能有如何的改进? 假人的威胁 简单易用,是 Web 服务最大的优势.然而,这也是个致命的弱点. 这种格式简单.标准一致的特征,使得攻击者能利用现有的安全工具,进行大规模.通用化的探测和入侵.甚至无需了解其中的原理. 试想一下,如果某个网站使用私有的二进制协议…

前言 之前介绍了 HTTPS 前端劫持 的方案,虽然很有趣,然而现实却并不理想.其唯一.也是最大的缺陷,就是无法阻止脚本跳转.若是没有这个缺陷,那就非常完美了 -- 当然也就没有必要写这篇文章了. 说到底,还是因为无法重写 location 这个对象 -- 它是脚本跳转的唯一渠道.尽管也流传一些 Hack 能勉强实现,但终究是不靠谱的. 事实上,在最近封稿的 HTML5 标准里,已非常明确了 location 的地位 -- Unforgeable. 这是个不幸的消息.不过也是件好事,让我们彻底打…

之前介绍了 HTTPS 前端劫持 的方案,尽管非常有趣.然而现实却并不理想. 其唯一.也是最大的缺陷.就是无法阻止脚本跳转.若是没有这个缺陷,那就非常完美了 -- 当然也就没有必要写这篇文章了. 说究竟,还是由于无法重写 location 这个对象 -- 它是脚本跳转的唯一渠道.虽然也流传一些 Hack 能勉强实现,但终究是不靠谱的. 其实,在近期封稿的 HTML5 标准里,已很明白了 location 的地位 -- Unforgeable. 这是个不幸的消息.只是也是件好事,让我们彻底打消各种…

现在前端框架市场比较乱,各种各样的框架参差不齐,这给我带来了很多困惑,同样是很多朋友的困惑吧!因为前端框架有很多种,对于程序员来说选择学习是非常困难的,不可能有几十上百种都要学习吧,不过最好的办法就是根据环境的变化学习不同的框架,这叫自适应能力. 相信很多技术人员已经了解到前端+人工智能,这个新趋向是不可改变的,很多的公司已经开始这方面的研究,其作用就能够帮助用户能够有更好的体验,能够清晰的了解到自己的需求. 回到前端框架中来! 你YY中未来的前端框架是什么样的? 可能很多朋友也有过这样的考,前…

广告再临 “老周,有人找你” 一大早,361杀毒公司的老周就被吵醒. 今天的阳光很明媚,老周伸了伸懒腰,这才踱步走向工作室. “是谁一大早的就来吵吵,坏了我的瞌睡”,听得出来,老周有点不太高兴. “咚咚-”,老周微微抬头一瞥,只见一甜美女子出现在工作室的门前. 老周一下从座椅上弹了起来,三步并作两步,走到女子面前,作出欢迎的手势:“美女请进” 二人坐罢,老周扶了下镜框,又整理了一下格子衬衣,一副温文尔雅的作态,轻声问到:“不知美女到访,所为何事?” 女子倒是一副焦急的样子,“您好,我是Chrom…

说起Web前端开发想必你一定不会陌生,因为现在的前端开发学习的培训机构也是层出不穷.下面济南优就业IT培训给大家总结出了未来Web前端开发的六大趋势从中可以大致看出来Web前端未来的发展前景. 趋势一:更加移动优先 响应式设计显然是目前Web前端开发领域的主要趋势之一,并且这一趋势在未来还将持续一段时间.虽然现在的响应式设计大部分还是以PC版优先,然而如果有一天我们把PC版放到比移动版次要的位置上,也没有什么好奇怪的.因为,目前许多Web前端开发者已经开始转向以移动优先方案来做他们的响应式设计和…

HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecure image ‘http://g.alicdn.com/s.gif’. This content sho…

原创地址:http://www.guokr.com/blog/148613/   在<HTTPS那些事(二)SSL证书>我描述了使用SSL证书时一些需要注意的安全问题,在这一篇文章里面我再演示一下针对HTTPS攻击的一些实例,通过这些实例能更安全的使用HTTPS.知己知彼百战不殆. 先说一下我的测试环境,WIFI局域网,两台计算机,其中一台是Windows 7用于发起攻击.另一台测试机用于测试攻击,配置为Windows XP SP3,IE8,Chrome 17. 在开始之前,再回顾一下SSL证…

https://imququ.com/post/sth-about-switch-to-https.html 随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS.就在今天,免费提供证书服务的 Let's Encrypt 项目也正式开放,HTTPS 很快就会成为 WEB 必选项.HTTPS 通过 TLS 层和证书机制提供了内容加密.身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充.本文分享一些启用 HTTPS 过程中的经验,重点是…

前言 关于HTTPS,基本上你想知道的都在这里了.本文原标题<HTTPS原理与实践>,下图是本文配套PPT的目录截图: [TOC] 原理篇 认识HTTPS 先说一下,本文可能有些地方由于描述不到位或者我本人理解错误而出现不准确内容,有错误欢迎指正! 什么是HTTPS HTTPS全称Hyper Text Transfer Protocol over Secure Socket Layer,直译过来就是通过SSL实现的超文本传输协议,简单来讲就是加密版的HTTP协议,也就是HTTP+SSL/TLS…

本文邀请阿里云CDN HTTPS技术专家金九,分享Tengine的一些HTTPS实践经验.内容主要有四个方面:HTTPS趋势.HTTPS基础.HTTPS实践.HTTPS调试. 一.HTTPS趋势 这一章节主要介绍近几年和未来HTTPS的趋势,包括两大浏览器chrome和firefox对HTTPS的态度,以及淘宝天猫和阿里云CDN的HTTPS实践情况. 上图是 chrome 统计的HTTPS网页占比的趋势,2015年的时候,大多数国家的HTTPS网页加载次数只占了不到 50%,2016年美国这个占…

在<HTTPS-SSL证书>我描述了使用SSL证书时一些需要注意的安全问题,在这一篇文章里面我再演示一下针对HTTPS攻击的一些实例,通过这些实例能更安全的使用HTTPS.知己知彼百战不殆. 先说一下我的测试环境,WIFI局域网,两台计算机,其中一台是Windows 7用于发起攻击.另一台测试机用于测试攻击,配置为Windows XP SP3,IE8,Chrome 17. 在开始之前,再回顾一下SSL证书验证失败的三点原因: SSL证书不是由受信任的CA机构颁发的 证书过期 访问的网站域名与证…

在<HTTPS那些事(二)SSL证书>我描述了使用SSL证书时一些需要注意的安全问题,在这一篇文章里面我再演示一下针对HTTPS攻击的一些实例,通过这些实例能更安全的使用HTTPS.知己知彼百战不殆.先说一下我的测试环境,WIFI局域网,两台计算机,其中一台是Windows 7用于发起攻击.另一台测试机用于测试攻击,配置为Windows XP SP3,IE8,Chrome 17. 在开始之前,再回顾一下SSL证书验证失败的三点原因: SSL证书不是由受信任的CA机构颁发的 证书过期 访问的网站…

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> 可以在相应的页面的<head>里加上这句代码,意思是自动将http的不安全请求升级为https HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错…

HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: jquery.min.js: Mixed Content: The page at 'https://www.qqzsh.top/getDetail?id=44' was loaded over HTTPS, but requested an insecure image 'http://images.q…

开启HSTS让浏览器强制跳转HTTPS访问 来源 https://www.cnblogs.com/luckcs/articles/6944535.html 在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HTTPS服务.而第一次的HTTP请求就有可能被劫持,导致请求无法到达服务器,从而构成HTTPS降级劫持.这个问题目前可以通过HSTS(HTTP Strict Transport Security,RF…

本文邀请阿里云CDN HTTPS技术专家金九,分享Tengine的一些HTTPS实践经验.内容主要有四个方面:HTTPS趋势.HTTPS基础.HTTPS实践.HTTPS调试. 一.HTTPS趋势 这一章节主要介绍近几年和未来HTTPS的趋势,包括两大浏览器chrome和firefix对HTTPS的态度,以及淘宝天猫和阿里云CDN的HTTPS实践情况. 上图是 chrome 统计的HTTPS网页占比的趋势,2015年的时候,大多数国家的HTTPS网页加载次数只占了不到 50%,2016年美国这个占…

首先百度地图使用的都是http请求链接,但是安装了证书之后会觉得这个http不安全,所以默认请求失败 这时候我们在请求头添加 <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" /> 目前支持这个设置的还只有 chrome 43.0,不过我相信,CSP 将成为未来 web 前端安全大力关注和使用的内容.而 upgrade-insecure-reque…

Android安全开发之安全使用HTTPS 1.HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验.主机名弱校验.webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设.接下来介绍一下安全使用HTTPS的相关内容. 1.1 为何需要HTTPS HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容.如下图所示就是典型的APP HTTP通信被运营商劫持修改,插入广告: 上图是在我的住…

转载: 关于启用 HTTPS 的一些经验分享(一) 随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS.就在今天,免费提供证书服务的 Let's Encrypt 项目也正式开放,HTTPS 很快就会成为 WEB 必选项.HTTPS 通过 TLS 层和证书机制提供了内容加密.身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充.本文分享一些启用 HTTPS 过程中的经验,重点是如何与一些新出的安全规范配合使用.至于 HTTPS 的部署…

随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS.HTTPS 通过 TLS 层和证书机制提供了内容加密.身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充.本文分享一些启用 HTTPS 过程中的经验,重点是如何与一些新出的安全规范配合使用.至于 HTTPS 的部署及优化,之前写过很多,本文不重复了. 理解 Mixed Content HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content(混合内容),不同浏…

距上次写博客还是有点久了,中间有个写的念头,不过由于不知道写什么也就放弃了. 14年4月份第一份前端工作到现在也有一年半之久了,自己对前端的热爱相对于一年前是有过之而无不及.一年半的时间里自己也成长了少,对前端的看法和理解也在不断的变化,中间抛弃了很多东西,也学了很多东西,一切也都是为了未来做前端更轻松吧. 前段时间有点浮躁了,不知道干什么,学新的东西也学不进去了,感觉整个人都失去了目标一样,这种感觉在之前也有过,就是我做第一份工作的时候,当时根本不知道自己当时做的事情对以后有什么帮助,这可能是…