OAuth研究&学习笔记

一直都是知道OAuth就是这么一个认证授权的协议,也没好好的深入研究学习下,昨晚鹅厂的模拟考,啪啪啪打脸!!!感觉答得一般,还好之前看过乌云的文章,多少会写一点,不过感觉还是不够啊。。遂就此文hhhh

2

0x00 什么是OAuth?


(一)OAuth应用场景
先了解下什么是OAuth(Open Authorization),顾名思义是一种开放授权协议,简单的说,假设用户小明在A公司的云服务上存放了多份公司文档,其中一份需要使用B公司的云打印服务完成,在没有OAuth之前,小明需要将该份文档从A下载下来再上传给B,或者把用户名和密码告诉B,由B自取;但是这样的问题很明显的就是B有可能盗取小明的商业机密文档,在这种场景下,OAuth协议就应运而生了;现如今大部分的第三方登录,便是使用了这种协议,方便用户的同时也是大大地提高了安全性。
Read More

【转】如何开始你的渗透测试之旅

在分享渗透测试之前,简单给大家介绍一下关于渗透测试培训的事情,随着市场对安全的重视,安全在我们的视线中出现的越来越多,以致于到现在供不应求。导致出现一些关于安全的培训机构,如果你想通过自身来进行提高,那么你可以上网找一些关于安全的视频,各大论坛都有一些分享,或者是通过一些安全教材(http://www.sec-wiki.com/book)来进行提高。每年安全大会都会举行几次,你可以参与参与,了解一下行内安全最新状态。如果你自己感觉自学很费劲,不如找个培训机构来进行强化,或者是说认识一些大牛,那么我给大家列举了一些目前市场的一些培训机构来帮助大家选择。选择哪个不重要,重要是你放下心态、认真学习。

tt
白帽学院、谷安网校、i春秋
白帽学院(baimaoxueyuan.com),现在也在全方位的培训安全,大量学校和企业安全大牛全部出于该学院。而对于谷安和春秋来说,除了一些安全课程之外,可能大量放的重点都是在cisp或者是cissp的资格证培训上。
而对于天融信,现在也出现了渗透测试方面的认证,大家可以根据上面标题简单罗列,可以买一些书籍或者是百度、google查找一些视频,先进行学习,最后报名天融信,考取渗透测试证书。
Read More

互联网时代第七集《控制》观后感

1

纪录片一开始以人的恶性为引点,为全文作了奠基。接着是以世界头号社会工程学黑客米特尼克的事迹作为“互联网安全故事”的开始。并介绍了DeCon大会上黑阔们破解ATM机的演示,由于有利可图,网络犯罪案件急剧增长,网络安全事件也是倍数增长。紧接是讲述了爱沙尼亚的被DDOS攻击事件,以及伊朗核电站被“震网病毒”攻击事件,反映了网络安全的重要性所在。随着网络规模的扩大,“网络欺凌”事件的影响力也是被无穷放大。纪录片还讲述了关于网络安全犯罪法律完善以及各国法律的双重标准阻碍网络犯罪法律的发展。影片最后讲述了美国政府的“棱镜”监听事件以及根服务器控制权的相关问题,突出了网络时代,新世界各国所需占领的新战略格局–网络空间。

Read More

OpenSSL又出新漏洞,DROWN Attack

攻击者可以利用DROWN来对目标服务器进行中间人攻击,受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。

drown

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。
影响超过1100万网站我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。
Read More