- 博客(47)
- 收藏
- 关注
RSS订阅原创 签名、杂凑、MAC、HMAC
杂凑(哈希)是一种单向密码学函数,能将任意长度的输入数据(称为 “消息” 或 “明文”)映射为固定长度的输出值(称为 “哈希值”“摘要” 或 “指纹”),且输出长度仅由哈希算法本身决定(与输入长度无关)。MAC 是一种带密钥的完整性与真实性验证技术,通过 “消息 + 共享密钥” 生成固定长度的认证码,仅持有共享密钥的双方可验证认证码,从而同时确保数据 “未被篡改”(完整性)和 “来源合法”(真实性)。HMAC 是MAC 的一个具体实现类别。
2025-09-11 22:29:37
1342
原创 TLS握手过程
Client Random, Cipher Suites:声明能力。Server Random, Cipher Suite:确定算法。套件为例),逐步分析每个步骤中使用的加密方式和涉及的参数数据。服务器ECDHE公钥:用RSA私钥签名,防篡改。客户端ECDHE公钥:交换参数,用于计算PMS。TLS 1.2的一次完整握手(以最典型的。加密的HTTP数据:实现安全通信。证书链:提供公钥,用于身份验证。:验证密钥正确性和握手完整性。信号:通知对方开始加密。信号:服务器问候结束。
2025-09-10 10:26:32
586
原创 TLS报文的一些内容
支持前向保密性(ECDHE 的 “Ephemeral” 特性)、高强度加密(AES-256)和认证加密(GCM),被广泛用于 HTTPS、VPN 等场景,符合当前主流的安全标准(如 PCI DSS、GDPR 等对数据传输的安全要求)。一个完整的证书链遵循一个层级结构:终端实体证书 -> (零个或多个中间CA证书) -> 根CA证书。需要注意的是,服务器发送的“Certificate”消息中不包含根CA证书本身,因为根CA证书应该已经预装在客户端的信任存储中。主密钥是生成所有会话密钥的“根密钥”。
2025-09-10 10:16:07
932
原创 数字签名、数字证书、数字信封的概念与区别
要理解,核心是抓住它们各自的核心目标 —— 分别解决 “身份真实性与内容完整性”“公钥可信度”“数据机密性” 问题,且三者都基于 “非对称加密”(一对公钥、私钥,公钥公开、私钥保密,用一方加密只能用另一方解密)技术构建,常配合使用但定位完全不同。
2025-09-04 20:46:17
1274
原创 裸签、Attach、Detach及其验签方式
裸签:极简形式,适合信任环境中已知数据不会被替换的场景(如本地校验)。Attach 类型:自包含性强,适合需要 “一次传输完成验证” 的场景(如邮件、合同)。Detach 类型:平衡安全性与灵活性,适合大文件或分布式系统(如 XML、大型数据集签名)。为了让理解更完整,我们可以再补充一点细节:裸签:提供「原始数据 + 加密签名值」,但两者是完全分离的,没有任何内置的关联信息(比如 “这个签名属于哪个数据”),需要依赖外部方式(如人工备注、文件名约定)确保配对正确。Attach。
2025-09-04 19:44:39
996
原创 CSRF学习笔记
CSRF(Cross Site Request Forgery),跨站点请求伪造。本文介绍了其攻击原理,在GET或POST下的攻击场景,以及需要用到的其他相关知识
2023-08-05 15:23:40
163
1
原创 CSRF的检测与防御笔记
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
2023-08-05 14:57:06
921
1
原创 XSS学习笔记
XSS是指攻击者向网页中插入恶意代码,当用户浏览该页面时,嵌入在其中的代码会被执行,从而达到恶意攻击用户的目的。本文介绍了三种XSS,分别为反射型XSS、存储型XSS、DOM型XSS;并指出了常用的防御方法。
2023-08-02 18:38:56
406
原创 正确地防御XSS 笔记
如何正确防御XSS,首先需要理清XSS可能出现的场景及其解决方法;至于富文本的处理上也要下功夫;DOM型XSS与其他类型的XSS不同,需要特殊看待。
2023-08-02 18:27:39
444
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人