نوشته‌شده در

TLS – اعتبار سرویس گیرنده / سرور پس از تأیید اعتبار از طریق HTTPS و سپس به متن ساده؟

آیا می توان یک اتصال امن برای متن ساده را در حین حفظ یک اتصال اعتماد کرد.

نه، غیرممکن است. در متن واضح، این هیچ راهی برای سرور برای جلوگیری از تغییر داده ها در هر جهت نیست.

از آنجا که سرور منبع محدود در قسمت محاسبات است، من می خواهم به یک اتصال رمزگذاری نشده برای بازی داده شود. [19659002TLSدیگرمنابعفشردهنیستاگراینواقعانگرانیاست،شمامیتوانیدرمزگذاریTLSرابهسروریاسرویسدیگریمانندCloudflareبفرستیداماهردستگاهVPSیامجازیمیتواندبهراحتیTLSرامدیریتکنداگرسرورشمانمیتواندTLSرامدیریتکند،مطمئنانمیتواندحتییکقسمتکوچکیازمنطقبازیخودراادارهکند

از آنجا که من قبلا نمی توانم به مشتری اعتماد کنم (همانطور که در جاوااسکریپت نوشته شده است)

شما نمی توانید به مشتری اعتماد کنید، مهم نیست چه زبان، فنآوری یا چارچوبی که استفاده میکنید حتی اگر مشتری شما در داخل ASIC اجرا شود، نباید از داده های مشتری اطمینان داشته باشید.

اگر تجارت از طریق یک سری از DAPPS اجرا شود

انجام ندهید. DAPPS برای توسعه سخت است، نگهداری بسیار دشوار است و هیچ مشکلی را حل نمی کند. به استثنای اینکه می خواهید پول بازیکنان را از دست بدهید، به کسی که تجربه و اعتبار دارد را برای توسعه این توابع برای شما پرداخت کنید. سعی نکنید تمام کارهای خودتان را انجام دهید یا زمان، پول و اعتبار خود را از دست می دهید. یا پرداخت کسی را که برای شما انجام می دهد یا پول واقعی را شامل نمی شود.

نوشته‌شده در

TLS – امن ترین روش برای ارسال اطلاعات احراز هویت به API چیست؟

از احراز هویت پایه استفاده نکنید، آن منسوخ شده است. هنگام استفاده از اعتبارنامه احراز هویت پایه به عنوان یک شناسه جلسه به کار می رود، بنابراین باید در هر درخواست ارسال شود. این دو حادثه بزرگ است:

  • مجوزهای ذخیره شده در حافظه پنهان مرورگر در متن ساده است که ممکن است در بعضی از سناریوها مورد سوء استفاده قرار گیرد.

  • جلسه را نمی توان متوقف کرد زیرا آن را به اعتبار کاربر متصل می کند و اعتبار هیچ مفهومی از منقضی شدن به عنوان JWT، کوکی ها و یا نوع دیگری از نشانه ها (توجه: هنگامی که می گوید منقضی شده من اشاره به رمز گشایی رمز عبور به عنوان در "نیاز به تغییر رمز عبور هر 3 ماه"، اما اعتبار به عنوان یک طرح اعتبار سنجی)

حتی اگر شما تلاش برای استفاده از احراز هویت اساسی سپس یک مرورگر کوکی را ارسال می کند که اعتبارنامه را در header مجوز حفظ خواهد کرد.

اگر شما از درخواست AJAX استفاده می کنید، توصیه من این است که با احراز هویت کوکی یا مهاجرت به JWT بمانم. توجه داشته باشید که اگر API از یک نام میزبان دیگر نامیده می شود (به عنوان مثال www.example.com یک api را در api.example.com فراخوانی می کند)، سرصفحه های مربوط به CORS برای اجازه دادن به اعتبار ها باید به درستی تنظیم شوند

نوشته‌شده در

HTTP – لینک هرزنامه خالی تغییر مسیر به google.com می دهد – آیا چیزی از دست رفته؟

اولین حدس من این بود که احتمالا احتمالا از رجیستری کاربر استفاده می کند تا شناسایی کند که آسیب پذیر است یا خیر. همانطور که از curl استفاده می کنید و UserAgent را تغییر نمیدهید، کیت exploit شما را به یک صفحه بی ضرر هدایت می کند.

من با curl با یک رشته IEE11 UserAgent استفاده کردم و همان تغییر مسیر احتمالا IP من در لیست مورد نظر نیست.

حدس بعدی: آدرس IP.

آدرس IP معمولا با لیستی از اهداف مورد نظر مطابقت دارد که معمولا به یک کشور مرتبط است. این معمولا به معنای نگه داشتن کیت استثمار است و تنها به هدفهای جالبی در معرض آن قرار می گیرد، از این جهت که از شرکت های امنیتی محافظت می شود.

بنابراین دوباره تلاش کردم با استفاده از پروکسی بریتانیا: 

 http_proxy = 88.211.xx: 8080 curl-Mozilla / 5.0 (Windows NT 10.0؛ WOW64؛ Trident / 7.0؛ rv: 11.0) مانند Gecko -v 'http://103.208.86.131/'
* تلاش 88.211.x.x ...
* اتصال به 88.211.x.x (88.211.x.x) پورت 8080 (# 0)
> دریافت http://103.208.86.131/ HTTP / 1.1
> میزبان: 103.208.86.131
> کاربر عامل: موزیلا / 5.0 (ویندوز NT 10.0؛ WOW64؛ Trident / 7.0؛ RV: 11.0) مانند Gecko
> پذیرفتن: * / *
> پروکسی اتصال: زنده نگه دارید
>
<HTTP / 1.1 302 یافت شد
<تاریخ: Thu، Sep 13، 2018 18:48:47 GMT
<سرور: آپاچی / 2.4.7 (اوبونتو)
<X-Powered By توسط: PHP / 5.5.9-1ubuntu4.25
<موقعیت: index2.php & & sessionid = 08bcaee2029a8a766175c5c8cebc8bff & securessl = true
<محتوا-طول: 0
<Content-Type: text / html
<
* اتصال شماره 0 به میزبان 88.211.x.x سمت چپ ناپدید شده است

و آن متصل است، من را به صفحه دیگری هدایت کرد.

نوشته‌شده در

tls – آیا HTTP و HTTPS به طور خودکار در وب سایت من کار می کنند و یا باید به نحوی اجازه داده شود؟

این سایت از کوکی ها برای ارائه خدمات ما و نمایش آگهی های مرتبط و لیست های شغلی استفاده می کند.
با استفاده از سایت ما، شما تأیید میکنید که ما خط مشی کوکیها، خط مشی رازداری و شرایط خدمات ما را خوانده و درک کردهاید.
استفاده شما از محصولات و خدمات سرریز پشته، از جمله شبکه سرریز پشته، تحت این شرایط و ضوابط است.
                

نوشته‌شده در

TLS – تزریق یک بسته TCP به اتصال موجود

اجازه دهید یک طرح را ببینیم:

اینجا را وارد کنید تصویر

و من می خواهم دو مورد را در نظر داشته باشم:

همه آدرس های آی پی عمومی هستند، ابر نماد Inernet است.

اولین بار

  1. H اتصال TCP مستقر دارد: C = (210.10.10.10،9999،98.98.98.98،9999) . این ارتباط برای برقراری ارتباط HTTP استفاده می شود – فرض کنید که برخی از HTTP فریم توسط اتصال C ارسال می شود.

  2. بنابراین، H فقط برخی از پیام های HTTP را ارسال می کند.

  3. اکنون MH میخواهد پیام HTTP را از طرف H ارسال کند. بنابراین، حدس می زنم TCP.SequenceNumber و دیگر TCP زمینه های هدر. سپس MH پیام TCP مناسب را با IP.srcAddress به پیام H` و پیام HTTP ارسال می کند: 'من یک احمق هستم' (نگاه کنید به طرح).

یک بسته به عنوان بسته بعدی در ارتباط دریافت شد C .

سوال من این است:
آیا سناریو ممکن است؟

دومین

وضعیت همان است که در بالا ذکر شد. با این حال، H و سرور با http s ارتباط برقرار می کند. MH تلاش می کند یک پیام HTTP ارسال کند، همانند قبل. این نمی تواند رمزگذاری شود زیرا MH یک کلید را نمی داند. بنابراین، نمی تواند به درستی توسط یک سرور رمزگشایی شود. سرور می تواند متوجه شود که یک بسته مخرب است زیرا محتوا برای اصلاح فرم رمزگشایی نمی شود.

آیا علامت این است که بسته های مخرب هستند؟ به نظر می رسد لغزنده است.