• cookie/session

    说到token就必然绕不开cookie和session。

    cookie:由服务端给客户端颁发的一张通行证,用来验证客户端的身份,本质上是一段在浏览器上以KV形式存储的文本数据,包含了session相关信息。用于解决HTTP协议无状态的问题,所以cookie是一个会话跟踪机制,是有状态的。

    session:当客户端请求服务端通过验证后,服务端会生成保存身份认证相关的session数据,并将session相关信息写入cookie返回给客户端,然后客户端将cookie保存到本地。之后两端就通过核对session信息来确认可信状态。session 可能会存储在内存、磁盘、数据库里,可能需要在服务端定期的去清理过期的 session。

  • 有时间把细节补充

    0x00 框架基础

    0x0a 常见框架

    0x0b Servlet

  • 作为一个安全工程师,利用漏洞不是最重要的,关键是如何防御

  • 基本模型

    什么是服务器?
    
    服务器是网络环境中的高性能计算机,它侦听网络上的其他计算机提交的服务请求,并提供相应的服务。 
    
    什么是客户机?
    
    连接服务器的计算机,客户机又称为用户工作站,是用户与网络打交道的设备,一般由微机担任,每一个客户机都运行在它自己的、并为服务器所认可的操作系统环境中。客户机主要享受网络上提供的各种资源。 
    
  • 前天晚上在twiiter上看到,去翻了翻git记录,没搞懂什么情况,白天朋友圈就被刷屏了,也有一些高质量的分析,学习下,复现遍过程,也就深夜能静下心来学习了

    0x00 背景

    Security Risk: Severe
    Exploitation Level: Easy/Remote
    DREAD Score: 8.6/10
    Vulnerability: SQL Injection
    

Next