好激动!好鸡冻!
ios大神直播上课了
还有8年软件开发经验的搜狗工程师黄毅,和10年软件开发经验的华为工程师、架构师
[url=http://www.520it.com/zt/bj-ios/]快点我![/url]
有教第三方支付(微信、APPLE Pay)
课程不再是基础班,而是进阶班给有基础的同学一个上升的台阶!
山海不可平
御安全
[align=center][b]Android安全之Https中间人攻击漏洞[/b][/align][align=center]Android安全 Https 攻击漏洞[b] [/b]应用加固 御安全 MITM[/align][align=left][b]0X01 概述[/b][/align][align=left][b] [/b][/align][align=center][attach]466103[/attach][/align][align=left][b]HTTPS[/b],是一种[url=https://zh.wikipedia.org/wiki/%E7%B6%B2%E7%B5%A1%E5%AE%89%E5%85%A8]网络安全[/url]传输协议,利用[url=https://zh.wikipedia.org/wiki/%E4%BC%A0%E8%BE%93%E5%B1%82%E5%AE%89%E5%85%A8]SSL/TLS[/url]来对数据包进行加密,以提供对[url=https://zh.wikipedia.org/wiki/%E7%B6%B2%E8%B7%AF]网络[/url]服务器的[url=https://zh.wikipedia.org/wiki/%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81]身份认证[/url],保护交换数据的隐私与[url=https://zh.wikipedia.org/wiki/%E5%AE%8C%E6%95%B4%E6%80%A7]完整性[/url]。[/align][align=left][b]中间人攻击[/b],Man-in-the-middle attack,[url=https://zh.wikipedia.org/wiki/%E7%B8%AE%E5%AF%AB]缩写[/url]:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。[/align][align=left]https在理论上是可以抵御MITM,但是由于开发过程中的编码不规范,导致https可能存在MITM攻击风险,攻击者可以解密、篡改https数据。[/align][align=left] [/align][align=left][b]0X02 https漏洞[/b][/align][align=left] [/align][align=left]Android https的开发过程中常见的安全缺陷:[/align][align=left]1)在自定义实现X509TrustManager时,checkServerTrusted中没有检查证书是否可信,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。[/align][align=left]2)在重写WebViewClient的onReceivedSslError方法时,调用proceed忽略证书验证错误信息继续加载页面,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。[/align][align=left]3)在自定义实现HostnameVerifier时,没有在verify中进行严格证书校验,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。[/align][align=left]4)在setHostnameVerifier方法中使用ALLOW_ALL_HOSTNAME_VERIFIER,信任所有Hostname,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。[/align][align=left] [/align][align=left] [/align][align=left][b]0X03 漏洞案例[/b][/align][align=left] [/align][align=left][b]案例一:京东金融MITM漏洞[/b][/align][align=left]京东金融Ver 2.8.0由于证书校验有缺陷,导致https中间人攻击,攻击者直接可以获取到会话中敏感数据的加密秘钥,另外由于APP没有做应用加固或混淆,因此可以轻松分析出解密算法,利用获取到的key解密敏感数据。[/align][align=left]御安全扫描结果:[/align][align=center][attach]466104[/attach][/align][align=left]如下是登陆过程中捕获到的数据:[/align][align=center][attach]466105[/attach][/align][align=left]其中的secretkey用于加密后期通信过程中的敏感数据,由于APP中使用的是对称加密,攻击者可以还原所有的通信数据。[/align][align=left] [/align][align=left][b]案例二:中国移动和包任意消费漏洞[/b][/align][align=left]HTTPS证书校验不严格,可被MITM;[/align][align=left]加密算法不安全,可被破解;[/align][align=left]关键数据保存在sdcard卡上,可被任意访问;[/align][align=left]代码混淆度低,业务逻辑,关键数据泄漏;[/align][align=left]消息签名算法比较简单,数据可被修改;[/align][align=left]通信数据如下:[/align][align=left]POST [url]https://mca.cmpay.com:28710/ccaweb/CCLIMCA4/2201194.dor[/url] HTTP/1.1[/align][align=left]Cookie: JSESSIONID=CHGmYSZLTMRAx_1sSEuUP6Q4vmRI9gWiRPM6ANGnH7eZWv0NhErE!221531807[/align][align=left].......[/align][align=left]Content-Length: 521[/align][align=left]Host: mca.cmpay.com:28710[/align][align=left]Connection: Keep-Alive[/align][align=left]Cookie: JSESSIONID=CHGmYSZLTMRAx_1sSEuUP6Q4vmRI9gWiRPM6ANGnH7eZWv0NhErE!221531807[/align][align=left]Cookie2: $Version=1[/align][align=left]
sfdfdgfdghtdh
[url=http://www.atool.org/colorpicker.php]http://www.atool.org/colorpicker.php[/url]
[attach]448798[/attach]
[attach]448799[/attach]
[attach]448800[/attach]
|无爱、亦莫相知
今天 我们班来了新老师 接替原来的网页老师 教我网页.....
然后 我 把标题文字 加了strong标签。。。。。然后开始写css改变strong标签的样子。。。
#38t问题就出来。。。。。这个老师走过来看到我在写的代码 说 strong标签 用CSS定义 会造成冲突
#49t然后问是什么冲突又貌似不知道的样子。。。上到台上就说
“下面有同学用strong会影响搜索引擎,开发搜索引擎的同学就会很注意的这样做很不好,结构冲突**”
*号是我根本没听清楚的地方,支支吾吾的,不知道说的什么
然后我记得之前我这么做 上个老师说可以这样的
[size=6]求问 大神 我错在哪里?求指出.....#10t [/size]
liyong0310
兔子生兔子”的问题是这样的: 有一只神奇的兔子,它可以靠自己就可以生兔子!但有个时间的规定,它出生后的第三个月开始才可以生一只兔子,但此后的每个月都可以生一只兔子,而且更神奇的是,它所生的兔子竟然跟它有一模一样的魔力!斐波纳契序列
1、1、2、3、5、8、13、21、33、。。。。。。计算机递归编程实现:
"; echo "斐波纳契数列的第7项为:"; echo Fibanacci(7); echo "
"; echo "斐波纳契数列的第20项为:"; echo Fibanacci(20); ?> 不用递归,就这样解决: [table] [tr][td][b][color=#ff7800]public[/color][/b] [b][color=#ff7800]class[/color][/b] [color=#000000]Test{[/color] [b][color=#ff7800]public[/color][/b] [b][color=#ff7800]static[/color][/b] [b][color=#ff7800]void[/color][/b] [color=#000000]main(String []args){[/color] [b][color=#ff7800]int[/color][/b] [color=#000000]num[/color][color=#009900]1[/color][color=#000000]=[/color][color=#009900]1[/color][color=#000000];[/color] [b][color=#ff7800]int[/color][/b] [color=#000000]num[/color][color=#009900]2[/color][color=#000000]=[/color][color=#009900]1[/color][color=#000000];[/color] [b][color=#ff7800]int[/color][/b] [color=#000000]num=num1+num2;[/color]
[color=#000000]System.out.print([/color][color=#0000ff]" "[/color][color=#000000]+num1+[/color][color=#0000ff]" "[/color][color=#000000]+num2+[/color][color=#0000ff]" "[/color][color=#000000]+num);[/color]
[color=#008200]//前24个月[/color]
[b][color=#ff7800]for[/color][/b][color=#000000]([/color][b][color=#ff7800]int[/color][/b] [color=#000000]i=[/color][color=#009900]3[/color][color=#000000];i<[/color][color=#009900]24[/color][color=#000000];i++){[/color]
[b][color=#ff7800]int[/color][/b] [color=#000000]num3=num+num2;[/color]
[color=#000000]num2=num;[/color]
[color=#000000]num=num3;[/color]
[color=#000000]System.out.print([/color][color=#0000ff]" "[/color][color=#000000]+num3);[/color]
[b][color=#ff7800]if[/color][/b][color=#000000](i%[/color][color=#009900]5[/color][color=#000000]==[/color][color=#009900]0[/color][color=#000000]){[/color]
[color=#000000]System.out.println();[/color]
[color=#000000]}[/color]
[color=#000000]}[/color]
[color=#000000]}[/color]
[color=#000000]}[/color]
[/td][/tr]
[/table]
liyong0310
例子中定义了有两个参数的函数,其中¥color参数有默认值。即调用函数时,如果不传入可选参数$color,将是用默认值“#000000”,即黑色字体;第二次调用使用了“red”参数,所以打印字体为红色的。
"; B_I_text($string); //调用函数,无$color参数 Echo "
"; B_i_text($string,"red"); //调用函数,加入$color参数 ?>
liyong0310
例子,一个家长叫小孩去买东西,小孩如何去买东西可以作是一个函数。但是小孩也给家长一个条件,如果给一元辛苦费才去买。即只有满足了给一元钱的条件,才去执行买东西这个函数,也才考虑怎么去买。如果条件根本不存在,那么函数相当于没有定义,当然也不会执行了!
"; B_I_text($string); //用实际参数调用函数 ?> 这个程序执行到调用B_I_text($text)函数时,就报错了!
liyong0310
喵宅苑
喵空间社区程序
络合兔
技术宅
腕能新趣
小五四博客
莉可POI
Mithril.js
枫の主题社
Project1
午后少年
机智库
七濑胡桃
xiuno
幻想の博客