双证书协议和单证书协议区别
“双证书协议”和“单证书协议”并非标准协议术语,实际指代的是通信中身份验证机制(如TLS双向/单向认证)或密钥用途分离设计(如国密SM2双证书体系),需结合上下文区分。在 TLS/SSL 认证场景中:单证书指仅服务器提供证书供客户端验证(单向认证);双证书通常误指双向认证(客户端和服务器均需持有并提交证书互验),但严格来说并非“双证书协议”,而是双向证书认证。在国密标准(如 TLCP)密钥用途分离
【网络安全】https与证书原理 | SSL Pinning及其绕过
SSL Pinning1 HTTPS协议流程参考:https://segmentfault.com/a/1190000009002353?sort=newesthttps://zhuanlan.zhihu.com/p/353571366https://juejin.cn/post/6863295544828444686HTTPS=HTTP+TLS,其它的协议也类似,如FTPS=FTP+TLS1)
怎么知道你连接的Wi-Fi网络是你要连的?
51期间微博有个热点,是关于某地一对情侣因为一方自动连上酒店Wi-Fi导致分手,很多人在评论区争吵,到底能否自动连上?专业的非专业的都有,正反观点都有。我认为,实际上所有的分析都可能是正确的,即使是互相矛盾的,就像无法解出的数学题一样,因为条件不够。跟Wi-Fi相关技术是非常复杂的,终端上有手机、Pad、IoT、电脑,路由器有不同厂家,操作系统有Windows、Linux、iOS、Android,
客户端来源IP伪造攻击与防护指南
在现代Web架构中,反向代理、负载均衡器和CDN的广泛使用,使得服务器无法直接获取客户端的真实IP地址,为了实现用户身份识别、日志记录、地理定位和访问控制等功能,开发者通常使用某些HTTP请求头获取客户端来源IP,其中最常用的就是X-Forwarded-For(XFF)。本文将以XFF请求伪造为例,从漏洞介绍、实际案例、修复方式出发,详细了解客户端来源IP伪造攻击与防护。漏洞概述X-Forward
HPKP(HTTP Public Key Pinning)详解
HPKP是什么HPKP(HTTP Public Key Pinning)又名公钥打孔,可以通过告知客户端将特定的加密公钥与特定服务器关联,以减少通过伪造证书进行中间人攻击(MITM)的风险.HPKP原理HPKP是一种首次信任技术,当客户端第一次访问服务器的时候,服务器通过特定的HTTP头来告知客户端哪些公钥是属于它的,客户端会将该信息存储一段时间,当客户端第二次访问服务端的时候,它会期望当前证书链
HTTP公钥固定(Public Key Pinning)扩展:HPKP 详解
一、什么是HPKP?HTTP公钥固定(HPKP)是一种安全功能,它告诉Web客户端将特定加密公钥与某个Web服务器相关联,以降低使用伪造证书进行“MITM攻击(中间人攻击)”的风险。为了确保TLS会话中使用的服务器公钥的真实性,此公钥将包装到X.509证书中,该证书通常由证书颁发机构(CA)签名。诸如浏览器之类的Web客户端信任许多这些CA,它们都可以为任意域名创建证书。如果攻击者能够破坏单个CA
HTTP Public Key Pinning 介绍
上篇文章中,我介绍了由 Google 推动的 Certificate Transparency 技术,它旨在通过开放的审计和监控系统,提高 HTTPS 网站证书安全性。本文要介绍的 HTTP Public Key Pinning(HPKP),也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击,但有着与 CT 不同的思路。我们知道,受信任的 CA(证书颁发机构)有好几百个,他们成为整个网
如何启用 Certificate Transparency
简单认识 Certificate Transparency根据维基百科的解释,Certificate Transparency (CT) 目前是一项实验性的 IETF 开放标准以及开放源代码的框架,用于监控以及审计数字证书。通过证书日志、监控以及审计系统,将允许网站用户以及域名所有者来判断辨别错误或者恶意签发的证书,并且可以找出那些流氓的 CA。翻译自维基百科:https://en.wikiped
使用 Wireshark 调试 HTTP2 流量
我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码。与此同时,HTTP/2 沿用了之前 HTTP 版本中的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证。以下是使用 Chrome 访问 HTTP/2 网站的截图,网络面板中显示的内容与 HTTP/1 网站相比,
三种解密 HTTPS 流量的方法介绍
Web 安全是一项系统工程,任何细微疏忽都可能导致整个安全堡垒土崩瓦解。拿 HTTPS 来说,它的「内容加密、数据完整性、身份认证」三大安全保证,也会受到非法根证书、服务端配置错误、SSL 库漏洞、私钥被盗等等风险的影响。很多同学认为只要访问的网站地址前有一把小绿锁就绝对安全,其实不然。本文通过介绍三种最常规的 HTTPS 流量解密方法及原理,浅谈一下 HTTPS 的安全风险。Man-in-the