前言 最近 12306 换了套新验证码，又一次引发吐槽。 虽然图片组合的方式仍有不少争议，但无论如何能尝试突破传统，都是值得称赞的。 毕竟传统的验证码已饱受诟病了。为了对抗少数恶意用户，却降低了 ...

本文前半部分科普 PBKDF 函数的意义，后半部分探讨在前端计算的可行性。 前言 几乎每隔一段时间，就会听到“XX 网站被拖库”的新闻。之后又会出现一些报道，分析该网站使用最多的密码是什么、有多少 ...

0x01 概述 SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务 ...

（更新：https://www.cnblogs.com/index-html/p/frontend_kdf.html ） 0x00 前言 天下武功，唯快不破。但在密码学中则不同。算法越快，越容易破 ...

继续趣事分享。 上回聊到了大学里用一根网线发起攻击，今天接着往后讲。 不过这次讲的正好相反 —— 不是攻击，而是防御。一个奇葩防火墙的开发经历。 第二学期大家都带了电脑，于是可以用更高端的方法断网了。但设备先进反而没有了 GEEK 的感觉。于是，决定做些其他更有意义的事。 一天，几个 ...

前言 之前介绍了一些前后端结合的中间人攻击方案。由于 Web 程序的特殊性，前端脚本的参与能大幅弥补后端的不足，从而达到传统难以实现的效果。 攻防本为一体，既然能用于攻击，类似的思路同样也可用于防御。如果将前端技术结合到传统的 WAF 中，又能有如何的改进？ 假人的威胁 简单易用 ...

话说写一个抽奖程序还不容易，不就是生成一个随机数吗，哪需什么算法之类的。 从技术上说，这确实不难。事实上，你怎么写都可以，因为程序只运行在特定的设备上，外人根本无法了解其中的细节。 那么问题就来了 ...

先来思考一个问题：如何写一个能消耗对方时间的程序？ 消耗时间还不简单，休眠一下就可以了： 这确实消耗了时间，但并没有消耗 CPU。如果对方开了变速齿轮，这瞬间就能完成。 不过要消耗 CPU ...

上一篇：https://www.cnblogs.com/index-html/p/js-network-firewall.html 对抗 v2 之前的那些奇技淫巧，纯属娱乐而已，并不能撑多久。 但简单、好玩，似乎这正是对抗的乐趣。之前从未想过，居然还能把脚本黑科技，用在网络防御 ...

前言 网站被拖库后，一些弱口令的 hash 很容易被破解还原。本文讲解一种新的存储方式，使攻击者跑 hash 变得更麻烦。 传统储存 对于大多数系统，用户名和密码都是这样存储的： ...