HPKP(HTTP Public Key Pinning)详解
HPKP是什么HPKP(HTTP Public Key Pinning)又名公钥打孔,可以通过告知客户端将特定的加密公钥与特定服务器关联,以减少通过伪造证书进行中间人攻击(MITM)的风险.HPKP原理HPKP是一种首次信任技术,当客户端第一次访问服务器的时候,服务器通过特定的HTTP头来告知客户端哪些公钥是属于它的,客户端会将该信息存储一段时间,当客户端第二次访问服务端的时候,它会期望当前证书链
HTTP公钥固定(Public Key Pinning)扩展:HPKP 详解
一、什么是HPKP?HTTP公钥固定(HPKP)是一种安全功能,它告诉Web客户端将特定加密公钥与某个Web服务器相关联,以降低使用伪造证书进行“MITM攻击(中间人攻击)”的风险。为了确保TLS会话中使用的服务器公钥的真实性,此公钥将包装到X.509证书中,该证书通常由证书颁发机构(CA)签名。诸如浏览器之类的Web客户端信任许多这些CA,它们都可以为任意域名创建证书。如果攻击者能够破坏单个CA
HTTP Public Key Pinning 介绍
上篇文章中,我介绍了由 Google 推动的 Certificate Transparency 技术,它旨在通过开放的审计和监控系统,提高 HTTPS 网站证书安全性。本文要介绍的 HTTP Public Key Pinning(HPKP),也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击,但有着与 CT 不同的思路。我们知道,受信任的 CA(证书颁发机构)有好几百个,他们成为整个网
如何启用 Certificate Transparency
简单认识 Certificate Transparency根据维基百科的解释,Certificate Transparency (CT) 目前是一项实验性的 IETF 开放标准以及开放源代码的框架,用于监控以及审计数字证书。通过证书日志、监控以及审计系统,将允许网站用户以及域名所有者来判断辨别错误或者恶意签发的证书,并且可以找出那些流氓的 CA。翻译自维基百科:https://en.wikiped
使用 Wireshark 调试 HTTP2 流量
我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码。与此同时,HTTP/2 沿用了之前 HTTP 版本中的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证。以下是使用 Chrome 访问 HTTP/2 网站的截图,网络面板中显示的内容与 HTTP/1 网站相比,
三种解密 HTTPS 流量的方法介绍
Web 安全是一项系统工程,任何细微疏忽都可能导致整个安全堡垒土崩瓦解。拿 HTTPS 来说,它的「内容加密、数据完整性、身份认证」三大安全保证,也会受到非法根证书、服务端配置错误、SSL 库漏洞、私钥被盗等等风险的影响。很多同学认为只要访问的网站地址前有一把小绿锁就绝对安全,其实不然。本文通过介绍三种最常规的 HTTPS 流量解密方法及原理,浅谈一下 HTTPS 的安全风险。Man-in-the
图解七大加密模式:从ECB到GCM,彻底搞懂数据如何“上锁”
开篇故事:一封被篡改的加密邮件某公司使用ECB模式加密合同文档,攻击者通过替换特定密文块,将“支付金额100万”篡改为“支付金额900万”。这场事故暴露了加密模式选择的重要性——不同的加密模式,直接决定数据的安全性等级。本文将通过图解+代码,带你深入理解7大主流加密模式的工作原理。一、加密模式基础在正式介绍加密模式之前,我们先来学习两组基础术语。1. 块加密 vs 流加密块加密(Block Cip
100条安全架构精髓知识,吃透40条进阶专家!
一、基础安全体系(20项)最小权限原则:所有账号、服务仅授予完成任务所需权限,定期审查并撤销多余权限。日志全生命周期管理:采用Filebeat、Logstash等工具统一采集→加密传输→集中存储→与SIEM联动分析→归档。漏洞闭环管理:部署定期扫描计划(如每日自动扫描),高危漏洞需24小时内修复并验证关闭状态。密码策略:密码长度≥12位,需包含大小写字母、数字和符号,禁止重复或弱口令,强制90天更
100个安全运维知识,懂一半绝对高手
一、基础安全体系(20项)最小权限原则:所有账号、服务仅授予必要权限,避免权限泛化。日志全生命周期管理:采集、存储、分析一体化,结合SIEM系统实时监控。漏洞闭环管理:扫描→分级→修复→验证,高危漏洞24小时内修复。密码策略:长度≥12位,混合大小写、数字及符号,禁用弱口令和重复密码。多因素认证(MFA):强制开启,优先使用硬件令牌或生物识别。防火墙规则优化:默认拒绝所有入站流量,仅开放必要端口和
5大防御深度解析:如何构建高效的网络安全防护体系?
网络安全的本质是攻防,攻击在演进,防御也在同步演进。在过程中,出现了多种防御理念和体系,如:纵深防御、主动防御、动态防御、欺骗防御、拟态防御等等。那么,这些防御各自的含义是什么呢?之间的区别和联系又是什么呢?一、纵深防御:层层设防,层层守护纵深防御,是相对于“单点防御”而言的,就像 “多层城堡” 一样,在不同环节设置多道防线,每层防线各司其职,即使某一层被突破,后续防线仍能阻挡攻击;在网络、系统、