记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

让我们加密吧!Let’s Encrypt 欲推免费HTTPS证书

Let’s Encrypt 计划在2018年1月推出免费通配HTTPS证书,让Web安全更简单,开销更低廉。Let’s Encrypt 是成立于2014年的公益数字证书认证机构(CA),旨在强化并加速在线安全,一直以来都通过自动化的过程颁发免费 X.509 (TLS/SSL) 证书,让网站可通过加密HTTPS而非未受保护的HTTP协议访问。自成立以来,Let’s Encrypt 已让极不安全的Web变得没那么危险了。在博客文章中,乔西·奥斯,作为合作伙伴运营 Let’s Encrypt 的互联网安全研究小组(ISRG)执行理事,称该CA通过其免费自动化域验证(DV)认证API,保护了4700万域名的安全。2015年12月 Let’s Encrypt 的服务上线以来
发布时间:2017-07-10 21:25 | 阅读:99608 | 评论:0 | 标签:牛闻牛评 DV SSL Let‘s encrypt 加密 证书

浅谈SAML攻击与防御

SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议和规范,可以用来传输企业用户身份证明, 主要是企业外的身份跨域传递。比如,公司(idp)的用户要访问SAAS 应用(sp)。 概要 SAML安全是SSO应用程序常常忽视的领域。成功的SAML攻击会导致严重的危害,例如重放会话和获得未经授权的访问应用程序功能。SAML攻击有所不同,但SAML Raider等工具可以帮助检测和利用常见的SAML问题。通过使用这些技术,你可以检测和更正你的应用程序中的SAML漏洞。 由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准,包括SSL
发布时间:2017-03-09 11:40 | 阅读:128847 | 评论:0 | 标签:Web安全 SAML XML 攻击 证书 邮件

mix_proxy:http+https代理拦截数据包

*作者:range@ArriSec *MottoIn原创稿件 前言 HTTP和HTTPS混合代理,这个代理保留了content_deal函数,通过这个函数,可以保存所有的请求,或者在这个函数里面处理所有请求。 同时,还保留了res_deal函数,通过这个函数可以编辑返回的http包,这里编辑的包是http返回包,str类型。 使用 由于可以走https流量,所以肯定要本地生成个:openssl req -new -x509 -days 365 -nodes -out key.crt -keyout key.pem如果中间f12中有任何飘红的现象的话,基本就是https证书不被信任的原因。点击进去,信任就好了。 运行 python mix_proxy.py (default 127.0.0.1) port py
发布时间:2016-08-16 05:35 | 阅读:97346 | 评论:0 | 标签:工具 http HTTPS mix_proxy 代理 代理拦截数据包 数据包 混合代理 证书

OWASP移动安全测试指南抢先看:证书锁定绕过

Certificate Pinning(证书锁定)是一项额外的安全层,对于应用程序而言它可以确保远程服务器提供的证书唯一性。通过应用程序中包含的远程服务器x509证书或者公钥,可以实现本地存储的证书或者key与远程服务器提供的证书进行比对如果你发现无法拦截(Man-in-the-Middle)应用程序的HTTPS通信信息,这极有可能就是应用程序使用了证书锁定。绕过证书锁定证书锁定是一项客户端安全保护机制,其可以通过伪造应用程序或者环境来进行绕过。可以通过反汇编应用程序移除或者伪造证书锁定逻辑,当然也可以将应用程序嵌入的证书更换成另一个应用程序的证书。虽说有工具可以实现自动化禁用证书锁定操作,但是这些工具不一定能跟上变换着的形式,你可能需要尝试学会使用手动方法进行上面所讨论的操作。iOS应用
发布时间:2015-11-13 11:20 | 阅读:87241 | 评论:0 | 标签:WEB安全 终端安全 OWASP 测试 移动安全 证书 锁定 移动

Mozilla加入谷歌 拒绝承认CNNIC证书

火狐厂商Mozilla加入谷歌阵营,拒绝承认中国互联网信息中心(CNNIC)发布的SSL证书。Mozilla安全团队在昨日博客上表示,经过评估环境以及在其公开邮件列表中的热烈讨论之后,一致认为,CNNIC的证书发布没有记录PKI操作,没有存储或控制监督,这严重违反了Mozilla的证书实施政策。因此,所有的Mozilla产品,包括火狐浏览器和雷鸟邮件客户的更新版本,在2015年4月1日之后,将不再信任CNNIC发布的数字证书。Mozilla此举紧跟谷歌,后者在周二声称今后的Chrome版本将停止承认CNNIC的授权证书。对于用户来说,两家浏览器巨头这样做的后果是,当用户通过HTTPS访问使用CNNIC证书的站点时,将会看到浏览器的警告信息,告诉用户当前的连接是不安全的。CNNIC于昨日发布声明谴责谷歌的这一行为
发布时间:2015-04-03 11:45 | 阅读:69768 | 评论:0 | 标签:动态 CNNIC Mozilla 证书 谷歌

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云