本章提供了一種更複雜,更安全的技術,提供數字密碼來保護http事務,防止竊聽和篡改的侵害。
https是最流行的http安全形勢,所有主要的伺服器和瀏覽器都支援此協議。
使用https時,所有的http請求和響應資料在傳送到網路之前,都要進行加密,https在http下面提供了乙個傳輸級的密碼安全層,使用ssl。
2.1 密碼編制的機制與技巧
密碼學是對報文進行編/解碼的機制與技巧。加密前的原始報文通常稱為明文,加密後的報文通常稱為密文。
2.2 編碼演算法
編碼演算法就是一些函式,這些函式會讀取一塊資料,並根據演算法和金鑰值對其進行編/解碼。
2.3 對稱金鑰加密技術
在編碼時使用的金鑰值和解碼時使用的金鑰值一樣。
2.4 公開金鑰加密技術
公開金鑰加密技術使用兩個非對稱金鑰,乙個用來對主機報文進行編碼,乙個用來對主機報文解碼。編碼金鑰是眾所周知的。
2.5 數字簽名
數字簽名是附加在報文上的特殊加密校驗碼。簽名可以證明作者。簽名可以防止報文被篡改。
2.6 數字證書
英特網上的id卡,包含了有某個受信任的組織擔保的使用者或公司的相關資訊。
3.1 https流程
a. 客戶端請求https方案,請求伺服器443埠。
b. 建立tcp連線後,客戶端和伺服器初始化ssl蹭,對加密引數溝通,交換金鑰。
c. 握手完成後,ssl初始化完成了。客戶端就可以將報文發給安全層了,在報文傳送給tcp之前,要先對其加密。
白帽子講Web安全(第 14 章 PHP 安全)
嚴格來說,檔案包含漏洞是 注入 的一種。在 注入攻擊 一章中,曾經提到過 注入 這種攻擊,其原理就是注入一段使用者能夠控制的指令碼或 並讓伺服器端執行。注入 的典型代表就是檔案包含 file inclusion 檔案包含可能會出現在 jsp php asp 等語言中,常見的導致檔案包含的函式如下。檔...
第14章 陣列
1 定義 相同的名稱和型別的變數的集合 陣列通常比較大,為了節省記憶體,c 規定陣列在程式中只能有乙個原本,沒有副本 陣列中的變數叫陣列元素 int a 10 陣列的型別 陣列的名稱 陣列的下標 2 陣列下標越界 3 陣列的初始化 1 陣列的部分初始化 int array 20 2 int arra...
第14章 秘密
我們決定回家後的第二天一起去海麗家,看能不能通融一下海麗的父親讓海麗繼續上學,追求她的夢。可是我的心裡老是感覺怪怪的,一直猶豫自己要不要再要插手這件事情。海麗雖沒有明說,但我真的傷了她,在她最需要的時候拋棄了她。而她也報復了我,用她對我的冷落表達對我的失望和傷心。乙個內向的人,如果沒有傷心到極限,沒...