刚上大学没多久，就遇到件头疼事。 富二代们刚来就带着笔记本电脑，这让咱们只能玩手机的屌丝辈们羡慕嫉妒恨。要命的事来了，晚上断电不断网，于是熄灯后笔记本仍然可以玩。 不巧的是，我们寝室也有个。常常熄 ...

前言 在之前介绍的流量劫持文章里，曾提到一种『HTTPS 向下降级』的方案 —— 将页面中的 HTTPS 超链接全都替换成 HTTP 版本，让用户始终以明文的形式进行通信。 看到这，也许大家都会想到一个经典的中间人攻击工具 —— SSLStrip，通过它确实能实现这个效果。 不过今天讲解 ...

有没有想过，如果网站的 Cookie 特别多特别大，会发生什么情况？ 不多说，马上来试验一下： 什么，网站居然报错了？ 众所周知，Cookie 是塞在请求头里的。如果 Cookie 太多 ...

精简版：https://www.cnblogs.com/index-html/p/mitm-cookie-crack.html 前言 上一篇文章 讲解了如何借助前端技术，打造一个比 SSLStrip 更高大上的工具。 今天我们再次使用这套战术，通过前后端的里应外合，实现一个杀手锏级的攻击方案 ...

分享一篇老文章。前些年在 ASRC 上的看了一篇文章「Html5新功能上的ui-redressing」后，写的一些改进方案。 文件对话框 文件上传对话框是一直以来就存在的网页控件。 到了 H ...

nginx轻巧功能强大，能承受几百并发量，ddos攻击几乎没有影响到nginx自身的工作，但是，太多的请求就开始影响后端服务了。所以必须要在nginx做相应的限制，让攻击没有到后端的服务器。这里阐述的是能在单位时间内限制请求数的ngx_http_limit_req_module模块和nginx ...

一，firewalld配置日志的用途: 在生产环境中，firewalld的默认配置是不记录日志 我们通过日志记录下防火墙过滤时拒绝的非法ip, 可以主动把这些有攻击性的ip加入到黑名单， 防患于未然 说明：刘宏缔的架构森林是一个专注架构的博客，地址：https ...

前言 之前介绍了 HTTPS 前端劫持 的方案，虽然很有趣，然而现实却并不理想。其唯一、也是最大的缺陷，就是无法阻止脚本跳转。若是没有这个缺陷，那就非常完美了 —— 当然也就没有必要写这篇文章了。 ...

前言 HSTS 的出现，对 HTTPS 劫持带来莫大的挑战。 不过，HSTS 也不是万能的，它只能解决 SSLStrip 这类劫持方式。但仔细想想，SSLStrip 这种算劫持吗？ 劫持 vs ...

XSS 的本质仍是一段脚本。和其他文档元素一样，页面关了一切都销毁。除非能将脚本蔓延到页面以外的地方，那样才能获得更长的生命力。 庆幸的是，从 DOM 诞生的那一天起，就已为我们准备了这个特殊的功能 ...