Mã hóa và giải mã dữ liệu URL bằng Base64 và AES trong PHP
Base64 không phải là cơ chế bảo mật — nó chỉ là phương pháp mã hóa nhị phân sang dạng văn bản có thể truyền tải an toàn qua các kênh chỉ hỗ trợ ký tự ASCII. Trong khi đó, việc bảo vệ dữ liệu nhạy cảm trong URL đòi hỏi các kỹ thuật thực sự như mã hóa đối xứng (AES) kết hợp xác thực thông điệp (HMAC). Bài viết này trình bày rõ ràng sự khác biệt g ...
Đăng vào ngày 3 tháng 7 lúc 12:12
JWT: Cấu trúc và Ứng dụng trong Xác thực Web
JSON Web Token (JWT) là tiêu chuẩn mở dựa trên JSON (RFC 7519) dùng để truyền tải thông tin xác thực giữa các hệ thống mạng. Token này được thiết kế gọn nhẹ, an toàn và đặc biệt phù hợp cho các ứng dụng phân tán như SSO. JWT cho phép trao đổi thông tin mà không cần lưu trữ phiên trên máy chủ, giảm thiểu chi phí xử lý.Quá trình xác thực không tr ...
Đăng vào ngày 28 tháng 6 lúc 22:44
Khai Thác Lỗ Hổng Truy Cập Không Xác Thực Trên Dịch Vụ Redis
Tổng Quan Môi Trường Kiểm Thử
Trong kịch bản này, chúng ta sẽ xem xét cách khai thác lỗi bảo mật cho phép truy cập không được ủy quyền vào dịch vụ Redis. Các thông số mạng và cấu hình cụ thể như sau:
Máy tấn công (Attacker): Hệ điều hành Kali Linux, địa chỉ IP giả định là 192.168.50.101.
Máy mục tiêu (Target): Chạy dịch vụ Redis phiên ...
Đăng vào ngày 26 tháng 6 lúc 04:10
Kỹ thuật phân tích chứng chỉ X.509 sử dụng thư viện Cryptography trong Python
Thư viện cryptography là một giải pháp mã hóa toàn diện cho Python, được xây dựng dựa trên nền tảng OpenSSL. Nó cung cấp các hàm API mạnh mẽ để xử lý các chứng chỉ X.509, quản lý cặp khóa bí mật và công khai, cũng như thực hiện các tác vụ bảo mật như ký số, xác thực chữ ký, mã hóa và giải mã dữ liệu.
Để sử dụng, bạn cần cài đặt gói thư viện nà ...
Đăng vào ngày 21 tháng 6 lúc 04:26
Kỹ Thuật Duy Trì Quyền Hạn Trên Linux - Phần 4
Kỹ Thuật Duy Trì Quyền Hạn Trên Linux - Phần 4
Bài viết này sẽ phân tích các kỹ thuật duy trì quyền hạn phổ biến trên Linux, giúp bạn hiểu rõ để phòng thủ hiệu quả.
1. Thêm người dùng và mật khẩu bằng một câu lệnh
Thêm người dùng thông thường:
# Tạo một người dùng với tên là 'testuser' và mật khẩu 'password123'
useradd -p `openssl passwd -1 -sa ...
Đăng vào ngày 20 tháng 6 lúc 07:56
Kiểm tra bảo mật PHP: Lỗ hổng do sử dụng hàm in_array() thiếu tham số kiểm tra kiểu
Hàm in_array() trong PHP là một công cụ phổ biến để kiểm tra sự tồn tại của giá trị trong mảng, nhưng việc bỏ qua tham số thứ ba — cờ kiểm tra kiểu — có thể dẫn đến lỗ hổng nghiêm trọng trong logic xác thực, đặc biệt khi xử lý dữ liệu người dùng không đáng tin cậy.
Vấn đề từ cơ chế so sánh yếu
Khi không truyền tham số thứ ba (mặc định là false ...
Đăng vào ngày 17 tháng 6 lúc 07:40
Tích hợp Apache Shiro vào ứng dụng Spring Boot
Để tích hợp Apache Shiro vào dự án Spring Boot, bạn cần thực hiện các bước cấu hình cơ bản sau:
1. Thêm phụ thuộc Maven
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
...
Đăng vào ngày 16 tháng 6 lúc 19:39
Kết hợp Vue3 và Spring Security với JWT để thực hiện xác thực đăng nhập
Mục lục
Frontend:
Database:
Backend:
Chạy ứng dụng:
Trong thời gian gần đây, tôi đã viết một bài hướng dẫn chi tiết về Spring Security, nhưng chưa áp dụng vào thực tế.
Vì vậy, lần này sẽ trình bày cách sử dụng Spring Security để thực hiện xác thực đăng nhập trong một dự án thực tế. Trong ví dụ này, chúng ta sẽ sử dụng mô hình phát triển tách bi ...
Đăng vào ngày 13 tháng 6 lúc 06:06
Tổng Quan Về Thực Thi Lệnh Trong PHP
Trong bài viết này, chúng tôi sẽ phân tích các hàm thực thi lệnh trong PHP và cách chúng có thể bị khai thác để gây ra các cuộc tấn công như Command Injection.
Giới thiệu về Command Injection
Command Injection là một kỹ thuật tấn công mà trong đó kẻ tấn công đưa vào các chuỗi lệnh độc hại thông qua dữ liệu đầu vào của ứng dụng web, khiến cho ứn ...
Đăng vào ngày 10 tháng 6 lúc 06:02
Hiểu Rõ Về Cơ Chế Sandbox Trong Phát Triển Front-End
Khái niệm về "Sandbox"
Sandbox (còn gọi là: hộp cát, môi trường cách ly) là một cơ chế bảo mật, cung cấp môi trường cách ly cho các chương trình đang chạy. Thường được sử dụng để thực thi các đoạn mã không đáng tin cậy, có khả năng phá hoại hoặc khi không thể xác định rõ ý định của chương trình. Sandbox cho phép thực thi an toàn các đoạn mã khô ...
Đăng vào ngày 7 tháng 6 lúc 17:40