- 博客(8)
- 资源 (5)
- 收藏
- 关注
原创 阻止分段攻击HotWC3网站注册散列数的依据
阻止分段攻击的依据是: 在两段之间,前段的散列数就是后段的初值很难做到。 CRC是流运算,开始有初值的条件,结束有散列的约束。 可以任意攻击一段,成功地得到初值和散列数。 但是本段的初值很难吻合上段的散列数。 可以利用CRC性质强行吻合,即改变本段的原文。 但是我们不知道上段的散列数。 故必须先计算最早的段,即必须知道首段的初值才能得到首段的散列数,才能将其作为下段的初值。 故
2011-12-27 16:38:58 637
原创 阻止或降低分段攻击HotWC3网站注册散列数的方法
菜农在《分段攻击HotWC3网站注册散列数的方法》一文中介绍和演示了分段攻击HotWC3的方法。 此攻击手段避开了网站特定码和用户名的阻击,直接用散列数攻击用户密码。 它使本来认为对攻击者设置障碍的都形同虚设,关键就是可以分段攻击。 分段攻击利用了CRC的一个特性,即: 本次的密文作为下次的初值。 在那个2次攻击的例子中,攻击者借用第1次攻击得出的散列值做为第2次的初值
2011-12-26 23:56:34 823
原创 分段攻击HotWC3网站注册散列数的方法
在《菜农认为网站数据库应该存储的注册信息 》一文中,菜农认为网站应该存储一下信息: 1.用户名 2.用户密码注册长度 3.网站特定码 4.散列值 5.绑定邮箱 6.绑定手机 7.密码找回提问(是个漏洞,可以考虑废除) HotWC3网上单向散列函数验证:http://www.hotpage.net.cn/HotPower_HotAjax.html 用
2011-12-26 19:53:08 865
原创 关于散列数查表问题
实际存储方式有问题。 首先要明白一个概念性的问题: 加密只有解密(破解)的问题,散列只有碰撞(伪造)的问题。 对于一个散列数,实际碰撞会很多的,且有一定规律可寻,正如王晓云教授找到MD5碰撞的规律。 我们可以用一个日常生活来举例,攻破巨型数据库查表问题: 某日必定对应一个星期,例如今天是周一。 星期的周期是7天,即每7天为某星期几。 但是星期几却不知是具体的某
2011-12-26 11:08:40 753
原创 菜农认为网站数据库应该存储的注册信息
正在研究HotWC3的碰撞问题,因为任何哈希函数存在着碰撞问题,例如王晓云教授研究MD5碰撞的成果。 但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率,输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户。 这些都可以防范。 但是存储散列值应该说比存储密文密码要安全的多,但单向散列函数故有的碰撞特性任何人都无法回避。 为了在输入流中隐含更多的各方信息,例如散列数中同时隐含
2011-12-26 08:31:41 764
原创 CRC不可逆的“真谛
CRC不可逆的“真谛” 根据《菜农CRC可逆定理》: 在任意CRC多项式对应的CRC算法中,当CRC多项式满足一定条件时,该CRC移动方向上 可能存在CRC的逆向算法,CRC逆向算法确保从CRC正向算法的运算结果即CRC校验值中 逆算出原始输入时的待校验信息。 任意CRC多项式字符串可逆条件判别: CRC多项式字符串内出现“+1”时存在CRC逆向算法,不出现“+1”时不存在CRC逆
2011-12-25 08:09:36 1858 1
原创 【讨论】论坛密码的安全存储、方法及规范
CSDN密码泄露带来的灾难,我们应该反思些什么??? 菜农两年前去《看雪软件安全论坛》是为HotWC3密码而战,此次是为HotWC3单向散列函数而战。 昨天与王育民教授约好,菜农将HotWC3论证,假若王老认为HotWC3不是游击队的战法,他老人家找人看看。 菜农一生清贫,无力30万元网上挑战,只有借助于王老这颗大树省略30万元。 不管HotWC3这次的生死,此时不出击要等待何时???
2011-12-23 06:16:27 1498 1
原创 菜地公告:即日起将开展LOOK操作系统的革命传统教育
菜地公告: 即日起《菜农Cortex-M0助学园地》将开展李老师的LOOK操作系统的革命传统教育。 同时QQ群12047788也将恢复每周二和周五的群课。 菜农HotPower@126.com 2011.12.3 于西安雁塔农会 点击下载LOOK操作系统新唐Cortex-M0工程演示包: LookDemos.rar (1.31 MB) 点击下载LOOK:
2011-12-05 03:26:22 937
javascript通过Ajax直接调用任意PHP函数多参数例程
2018-06-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人