前言 最近 12306 換了套新驗證碼，又一次引發吐槽。 雖然圖片組合的方式仍有不少爭議，但無論如何能嘗試突破傳統，都是值得稱贊的。 畢竟傳統的驗證碼已飽受詬病了。為了對抗少數惡意用戶，卻降低了 ...

本文前半部分科普 PBKDF 函數的意義，后半部分探討在前端計算的可行性。 前言 幾乎每隔一段時間，就會聽到“XX 網站被拖庫”的新聞。之后又會出現一些報道，分析該網站使用最多的密碼是什么、有多少 ...

0x01 概述 SSRF(Server-side Request Forge, 服務端請求偽造)。 由攻擊者構造的攻擊鏈接傳給服務端執行造成的漏洞，一般用來在外網探測或攻擊內網服務 ...

（更新：https://www.cnblogs.com/index-html/p/frontend_kdf.html ） 0x00 前言 天下武功，唯快不破。但在密碼學中則不同。算法越快，越容易破 ...

繼續趣事分享。 上回聊到了大學里用一根網線發起攻擊，今天接着往后講。 不過這次講的正好相反 —— 不是攻擊，而是防御。一個奇葩防火牆的開發經歷。 第二學期大家都帶了電腦，於是可以用更高端的方法斷網了。但設備先進反而沒有了 GEEK 的感覺。於是，決定做些其他更有意義的事。 一天，幾個 ...

前言 之前介紹了一些前后端結合的中間人攻擊方案。由於 Web 程序的特殊性，前端腳本的參與能大幅彌補后端的不足，從而達到傳統難以實現的效果。 攻防本為一體，既然能用於攻擊，類似的思路同樣也可用於防御。如果將前端技術結合到傳統的 WAF 中，又能有如何的改進？ 假人的威脅 簡單易用 ...

話說寫一個抽獎程序還不容易，不就是生成一個隨機數嗎，哪需什么算法之類的。 從技術上說，這確實不難。事實上，你怎么寫都可以，因為程序只運行在特定的設備上，外人根本無法了解其中的細節。 那么問題就來了 ...

先來思考一個問題：如何寫一個能消耗對方時間的程序？ 消耗時間還不簡單，休眠一下就可以了： 這確實消耗了時間，但並沒有消耗 CPU。如果對方開了變速齒輪，這瞬間就能完成。 不過要消耗 CPU ...

上一篇：https://www.cnblogs.com/index-html/p/js-network-firewall.html 對抗 v2 之前的那些奇技淫巧，純屬娛樂而已，並不能撐多久。 但簡單、好玩，似乎這正是對抗的樂趣。之前從未想過，居然還能把腳本黑科技，用在網絡防御 ...

前言 網站被拖庫后，一些弱口令的 hash 很容易被破解還原。本文講解一種新的存儲方式，使攻擊者跑 hash 變得更麻煩。 傳統儲存 對於大多數系統，用戶名和密碼都是這樣存儲的： ...