原创 低成本打造一個帶寬無限的網站 —— No.1 免費空間的遐想
免費空間 自從學習網頁製作那天起,就開始期待有朝一日能有個自己的網站。 儘管當時有不少免費空間,對於簡單的個人網站也夠用了,然而像我這樣挑剔的,試用後幾乎都不怎麼滿意 —— 要麼會偷偷插些廣告,這對於有潔癖的我是無法容忍的;要麼奇慢無比,而
2021-07-16 12:55:40
6
原创 JS 端口敲門探索
傳統的端口敲門 端口敲門是一種特殊的安全認證方案。它沒有固定的標準,每個人的實現各不相同。當然,即使沒聽說過這個名詞,不少人也有類似的想法和實現。 例如我曾經使用 Windows 服務器時,一直對遠程桌面頗爲不滿。不是因爲這個服務做得不好,
2021-07-16 12:55:40
2
原创 網站圖片無縫兼容 WebP/AVIF
前言 WebP 格式發佈已有十餘年,但不少站點至今仍未使用,只爲兼顧極少數低版本瀏覽器。至於去年發佈的 AVIF 格式,使用的站點就更少了。 然而圖片往往是流量大戶,與其費盡心機優化腳本體積,可能還不如轉換一張大圖帶來的收益更多。據 can
2021-07-16 12:55:40
39
原创 網頁如何獲取往返數據包的 TTL
前言 Web 前端思考題:如何獲取往返數據包的 TTL 注意,這裏說的是「往返」,即去程和返程,也就是「服務端」收到「客戶端數據包」的 TTL,和「客戶端」收到「服務端數據包」的 TTL。 注意,這裏說的是「接收」,畢竟發送時的 TTL 毫
2021-07-16 12:55:40
原创 玩轉阿里輕量雲
爲什麼選擇輕量雲 沒別的,流量便宜。 由於衆所周知的原因,中國境內的服務器網絡費用比境外貴上百倍。如今國外 VPS 帶寬不少都是 Gbps 起步,而咱們幾乎都是 1Mbps 起步,仍停留在蠻荒時代。相比硬件性能每年都在提升,帶寬卻龜然不動~
2021-07-16 12:55:40
原创 【XSS】延長 XSS 生命期
XSS 的本質仍是一段腳本。和其他文檔元素一樣,頁面關了一切都銷燬。除非能將腳本蔓延到頁面以外的地方,那樣才能獲得更長的生命力。 慶幸的是,從 DOM 誕生的那一天起,就已爲我們準備了這個特殊的功能,讓腳本擁有突破當前頁面的能力。 下面開始
2021-07-15 12:55:55
原创 JS Hook 攻防案例
思考題 現有一款瀏覽器安全插件,會對所有頁面的 Performance API 進行 Hook,以降低 JS 獲取的時間精度,減少邊信道攻擊的風險。 該插件會把如下代碼注入到頁面最開始: (function() { const obj
2021-07-15 12:55:55
1
原创 低成本打造一個帶寬無限的網站 —— No.2 緩存防禦攻擊
網站攻擊 有次在和朋友討論網站防護時,提到一個信息發佈的站點 —— 它的結構很簡單,只有幾個頁面而已,正常情況下打開是非常快的。然而一到關鍵時刻,流量如同洪水般湧來。網站無法訪問,那些付費發佈的信息就錯過最佳展現時間了。 對於網站攻擊,現成
2021-07-15 12:55:55
原创 【XSS】利用 onload 事件監控流量劫持
說到跨站資源監控,首先會聯想到『Content Security Policy』。既然 CSP 好用,我們何必自己再搞一套呢。那就先來吐槽下 CSP 的缺陷。 目前的 CSP 日誌不詳細 用過 CSP 的都很鬱悶,上報的只有違規的站點名,卻
2021-07-15 12:55:55
原创 如何隱藏服務器的管理端口
前言 如何隱藏服務器的 SSH、遠程桌面等服務,大多都是修改端口、只允許白名單 IP 訪問。這雖然沒什麼大問題,但並不完美。 修改端口 端口號總共才幾萬個,掃描下瞬間就知道了。 事實上,改端口只能防止固定端口的全網掃描,如果人家針對你的 I
2021-07-15 12:55:55
原创 【社工】NodeJS 應用倉庫釣魚
前言 城堡總是從內部攻破的。再強大的系統,也得通過人來控制。如果將入侵直接從人這個環節發起,那麼再堅固的防線,也都成爲擺設。 下面分享一個例子,利用應用倉庫,滲透到開發人員的系統中。 應用倉庫 應用倉庫對於開發人員再熟悉不過了。apt-ge
2021-07-15 12:55:55
原创 對抗假人 —— 前後端結合的 WAF
前言 之前介紹了一些前後端結合的中間人攻擊方案。由於 Web 程序的特殊性,前端腳本的參與能大幅彌補後端的不足,從而達到傳統難以實現的效果。 攻防本爲一體,既然能用於攻擊,類似的思路同樣也可用於防禦。如果將前端技術結合到傳統的 WAF 中,
2021-07-15 12:55:55
1
原创 低成本打造一個帶寬無限的網站 —— No.4 數據流優化
分塊處理 上一篇曾提到,我們可對資源加密存儲,然後在 SW 中進行解密。 理論上這當然可行,但事實上會出現一些問題:我們必須等整個資源下載完成後,才能開始解密操作。這對於用戶體驗,會產生很大的影響。 假如有個 1MB 的圖片,通過 100
2021-07-15 12:55:55
原创 使用 JS Hook 技術,打造最先進的在線代理
什麼是在線代理 所謂在線代理,就是可通過某個網站訪問另一個網站(通常無法直接訪問)。不用安裝任何插件,不用修改任何配置,僅僅打開一個網頁即可。 類似的網站,或許大家都曾見過,並且印象中應該都不怎麼好用。相比 ss/v2 這些網絡層代理,在線
2021-07-15 12:55:55
19
原创 低成本打造一個帶寬無限的網站 —— No.5 免費空間的挖掘
突破限制 由於 SW 非常強大,因此使用條件也是非常嚴格的,以免被惡意使用。 例如 SW 必須在 HTTPS 站點上使用。這本是件好事,徹底杜絕了中間人的隱患,但現在卻成了一道門檻。 同時,這還引發了另一個問題:由於 HTTPS 站點是禁止
2021-07-15 12:55:55