安全相关
文章平均质量分 85
安全相关
西京刀客
AI,Crypto/Web3.
A bug bounty hunting and a lot of coding is my passion!
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
抗ASIC、抗GPU 的密码哈希算法(安全密钥派生)Argon2算法
Argon2是一种抗ASIC和GPU攻击的密码哈希算法,在2015年密码哈希竞赛中获得冠军。它通过内存密集型计算有效抵御定制硬件的暴力破解,相比PBKDF2、Bcrypt和Scrypt提供更强的安全性。Argon2有三种变体:Argon2d(抗GPU攻击)、Argon2i(抗侧信道攻击)和推荐的Argon2id(混合型)。该算法可配置内存大小、迭代次数和并行度等参数,适用于密码存储和密钥派生等场景,是当前最安全的密钥派生函数之一。原创 2025-09-09 09:36:32 · 1788 阅读 · 0 评论 -
Windows 11 对硬件和启动方式要求
现代威胁越来越多地聚焦在系统启动和底层固件层面。有了 TPM 提供的安全“根”,操作系统可以更可靠地验证硬件和系统组件的完整性,防止未授权代码在 boot 时加载。系统启动更可信,登录和保护数据的机制(如密钥、凭据)也更安全。对希望启用 Windows 11 的设备,通常需要启用 TPM 2.0、Secure Boot、UEFI 启动等。通过要求 TPM 2.0、Secure Boot、UEFI 等,微软能更好地确保新特性、更新与安全补丁能在一个更统一、可控的底层环境中运行。原创 2025-09-07 10:15:28 · 1579 阅读 · 0 评论 -
浏览器环境下AES-GCM JavaScript 加解密程序
这篇文章介绍了一个在浏览器环境下实现AES-GCM加解密的JavaScript解决方案。由于crypto-js库不支持AES-GCM模式,作者推荐使用node-forge这个纯JavaScript加密库,它支持跨Node.js和浏览器环境运行,提供包括AES-GCM在内的多种加密功能。文章包含一个完整的HTML示例代码,展示了如何构建一个美观的AES-GCM加解密测试界面,包含输入框、功能按钮和结果显示区域,并提供了详细的CSS样式设计。原创 2025-08-14 20:45:13 · 1272 阅读 · 0 评论 -
什么是URL 跳转漏洞(URL Redirection Vulnerability)
URL 跳转漏洞(URL Redirection Vulnerability)是指攻击者利用网站或应用程序中未经验证的重定向功能,将用户引导至恶意网站的一种安全漏洞。原创 2025-07-10 07:55:19 · 721 阅读 · 0 评论 -
apisix-使用hmac-auth插件进行接口签名身份验证\apisix consumer
HMAC 是一种基于哈希函数的消息认证码,常用于验证消息的完整性和真实性。它需要一个密钥(secret key)和一个哈希算法(如 SHA-256)来生成签名。原创 2025-06-19 23:13:40 · 1676 阅读 · 0 评论 -
安全测试的辅助工具之DNSLog 平台
DNSLog 是一种用于安全测试的辅助工具,主要用于检测 无回显漏洞(如 SSRF、Blind SQLi、XXE 等)。它的核心原理是通过 DNS 协议记录目标服务器发起的 DNS 查询请求,从而间接验证漏洞的存在。原创 2025-03-27 23:55:44 · 2279 阅读 · 0 评论 -
什么是强哈希算法pbkdf2(Password-Based Key Derivation Function)
PBKDF2(Password-Based Key Derivation Function 2)是一种基于密码的密钥派生函数。它的主要作用是从密码和盐(salt)**派生出固定长度的密钥**。PBKDF2 的设计目标是增加密码猜测攻击的成本,即使攻击者能够获得哈希函数的输出,也很难从中推导出原始密码。原创 2025-03-16 00:08:13 · 1181 阅读 · 0 评论 -
常用安全哈希算法bcrypt
Bcrypt算法是一种非常安全的密码加密算法,已经被广泛应用于各种编程语言和操作系统中。原创 2025-02-19 22:49:55 · 1562 阅读 · 0 评论 -
OAuth2 快速入门
OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。原创 2025-01-15 18:53:58 · 1336 阅读 · 0 评论 -
密码学之柯克霍夫原则(Kerckhoff原则)
Kerckhoff原则,又称公开密钥原则,是英国密码学家奥古斯特·柯克霍夫于1883年提出的密码学原则。它的核心思想是,即使敌人获得了加密方案的所有详情,加密消息也应该是安全的。也就是说,安全的关键不在于加密算法的保密,而在于密钥的保密。原创 2024-11-21 18:04:14 · 1546 阅读 · 0 评论 -
drand- 随机数获取和验证
类似于ETH2.0实行的信标链(Beacon Chain),FIL目前采用Drand作为其Beacon源。原创 2024-06-03 21:50:48 · 1893 阅读 · 0 评论 -
商用密码应用安全性评估量化评估规则
商用密码应用安全性评估量化评估规则是一套用于对商用密码应用进行评估的规则和准则。它旨在通过定量的评估方法和标准,对商用密码应用的安全性进行量化评估和打分,以衡量其在安全性方面的水平和可信度。原创 2024-04-27 20:40:06 · 3101 阅读 · 1 评论 -
什么是哈希算法sha2?和sha1什么区别?SHA2代码签名?sha3又是什么?
SHA是一系列的加密算法,有SHA-1、SHA-2、SHA-3三大类,而SHA-1已经被破解,SHA-3应用较少,目前应用广泛相对安全的是SHA-2算法。原创 2024-03-28 13:02:36 · 2847 阅读 · 0 评论 -
多重签名钱包(Multisig Wallet)
Multisig表示多重签名,而多重签名是一种特定类型的数字签名,而此类型的签名将允许两个以上用户作为一组来签署文档。因此,多重签名则通过多个单一签名的组合来产生。原创 2024-03-03 10:29:46 · 7880 阅读 · 0 评论 -
Hmac 快速开始(hmac应用)
HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写,由H.Krawezyk,M.Bellare,R.Canetti于1996年提出的一种**基于Hash函数和密钥进行消息认证的方法**,并于1997年作为RFC2104被公布,并在IPSec和其他网络协议(如SSL)中得以广泛应用,现在已经成为事实上的Internet安全标准。它可以与任何迭代散列函数捆绑使用。原创 2024-02-28 21:50:09 · 1375 阅读 · 0 评论 -
密码管理局以及什么是密评?为什么要做密评(商用密码应用安全性评估)?
密评是指对系统、设备或组织的密码安全性进行评估和测试的过程。密评的目的是评估密码系统的安全性和可靠性,检查是否存在潜在的漏洞和风险,并提供相应的建议和措施来改善密码的保密性、完整性和可用性。原创 2024-02-19 11:22:23 · 5044 阅读 · 1 评论 -
安全之护网(HVV)、红蓝对抗
**护网行动是以公安部牵头的**,用以评估企事业单位的网络安全的活动。具体实践中。公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。原创 2024-02-09 14:01:36 · 5359 阅读 · 2 评论 -
Windows 10中的驱动程序与device guard的兼容性
Device Guard 的主要目标是防止未经授权的应用程序运行在受保护的计算机上。它通过使用硬件和软件的安全功能来实现这一目标原创 2024-01-23 09:39:09 · 2572 阅读 · 0 评论 -
APT(高级持久性威胁)组织
APT(高级持久性威胁)是一种指定的网络攻击,通常由高度组织化、精心策划和长期实施的黑客或网络犯罪团伙发起。这些攻击的目的是获取敏感信息、窃取知识产权、破坏基础设施或其他形式的经济或政治间谍行为。APT攻击者通常会花费大量时间和资源来侵入目标系统,并长期隐藏在其中,以保证他们的攻击不被发现。原创 2024-01-21 19:39:31 · 3951 阅读 · 0 评论 -
libp2p 快速开始
Libp2p是一个模块化的网络栈,通过将各种传输和P2P协议结合在一起,使得开发人员很容易构建大型、健壮的P2P网络。原创 2023-12-16 20:46:21 · 4851 阅读 · 2 评论 -
分形理论之曼德博集合(Mandelbrot set)
曼德勃罗(Benoit B. Mandelbrot),数学家、经济学家,分形理论的创始人。1924年生于波兰华沙;1936年随全家移居法国巴黎,在那里经历了动荡的二战时期;1948年在帕萨迪纳获得航空硕士学位;1952年在巴黎大学获得数学博士学位;曾经是普林斯顿、日内瓦、巴黎的访问教授,哈佛大学的“数学实践讲座”的教授,IBM公司的研究成员和会员。原创 2023-12-11 18:38:24 · 3938 阅读 · 0 评论 -
面向 AI 开发者的新型编程语言Mojo
Modular 公司由 LLVM 和 Swift 编程语言的联合创始人 Chris Lattner 创办,Modular AI公司针对这个问题设计了Mojo。原创 2023-12-10 09:55:00 · 4501 阅读 · 0 评论 -
监控系统-Prometheus(普罗米修斯)(三) Prometheus中的指标(Metrics)
Prometheus整体架构分为Server端和Exporter端,而Exporter通常是基于官方的SDK开发(例如Go SDK)。原创 2023-10-23 20:15:05 · 6767 阅读 · 0 评论 -
代码质量管理平台之SonarQube
SonarQube 帮助开发团队有效地管理和提高代码质量,通过自动化分析和设置规范来改进开发流程,因此在持续集成和持续交付流程中被广泛使用。原创 2023-09-13 17:39:10 · 768 阅读 · 0 评论 -
华为云云耀云服务器L实例评测|华为云上试用主机安全产品Elkeid
随着云技术的发展,现在各大银行、大小企业和政府都在频繁使用云技术,在这些领域,安全显然是一个非常重要的因素。云主机作为数据存储的场所,正面临着黑客不断入侵的威胁,那么主机安全是什么?原创 2023-09-08 23:04:54 · 1920 阅读 · 0 评论 -
Nginx 使用 HTTPS(准备证书和私钥)
将证书和私钥文件路径配置到Nginx配置中,就可以使用HTTPS了。原创 2023-08-16 12:29:48 · 2614 阅读 · 0 评论 -
AEAD(Authenticated Encryption with Associated Data) 认证加密之 AES-GCM
结论:AEAD模式是一个密码学的规范和标准。它定义了一种同时提供认证和加密的算法模式,已经被广泛采用于各种主流的安全通讯协议和标准中。原创 2023-06-09 09:12:23 · 9644 阅读 · 0 评论 -
Diffie-Hellman密钥交换协议(Diffie-Hellman Key Exchange,简称DHKE)
Deffie-Hellman(简称 DH) 密钥交换是最早的密钥交换算法之一,它使得通信的双方能在非安全的信道中安全的交换密钥,用于加密后续的通信消息。 Whitfield Diffie 和 Martin Hellman 于 **1976** 提出该算法,之后被应用于安全领域,比如 Https 协议的 TSL(Transport Layer Security)以 DH 算法作为密钥交换算法。原创 2023-05-28 20:02:39 · 3244 阅读 · 0 评论 -
Noise协议和Disco协议选型
Noise协议和DISCO协议都是基于Diffie-Hellman密钥交换的加密协议,但是它们之间仍存在一些区别。原创 2023-05-07 11:28:26 · 1365 阅读 · 0 评论 -
开源waf之 Naxsi、Naxsi和modsecurity对比
Naxsi是一个开源,高性能,低规则维护WAF。原创 2023-04-03 21:00:00 · 3069 阅读 · 0 评论 -
SQL注入语义分析库libinjection
libinjection是一款用于防御SQL注入攻击的开源软件库。它是由C语言编写的,可以嵌入到任何Web应用程序中,并可以较为准确地检测和防止恶意SQL注入语句。libinjection采用了基于正则表达式的技术来识别和拦截SQL注入攻击,同时其开放源代码的特点也使得其具备了较高的可定制性和扩展性。原创 2023-03-24 14:12:11 · 1666 阅读 · 0 评论 -
Linux Kernel 远程代码执行漏洞(CVE-2022-47939)
据Security Affairs消息,近期披露的一个严重 Linux 内核漏洞会影响 SMB 服务器,可能导致远程代码执行。Linux Kernel SMB2_TREE_DISCONNECT 命令处理中存在远程代码执行漏洞。由于在对对象执行操作前缺乏对对象存在性的验证,当系统启用 ksmbd 时,未经身份验证的远程攻击者可实现在目标系统上任意执行代码,CVSS 评分为 10。该漏洞的 CVSS 评分达到了最高级别的10分,影响启用了 ksmbd 的服务器。原创 2022-12-27 13:41:37 · 2483 阅读 · 0 评论 -
从Metamask区块链签名到钓鱼案例分析
从Metamask区块链签名到钓鱼案例分析原创 2022-11-19 07:54:03 · 3046 阅读 · 0 评论 -
【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员
Web3安全性,按需。$5MM的奖励支付发现500多个高度严重性漏洞在48小时内开始你的审计:http://bio.link/code4rena。原创 2022-10-30 23:30:00 · 2486 阅读 · 0 评论 -
禁用Linux的SCP命令
在 SSH 8.0 预发布公告中,OpenSSH 项目表示,他们认为 scp 协议已经过时,不灵活,而且不容易修复,然后他们继而推荐使用 sftp 或 rsync 来进行文件传输。原创 2022-10-24 22:15:00 · 3536 阅读 · 0 评论 -
黑客赏金猎人平台之Immunefi
Immunefi于2020年12月推出,通过Bug赏金提供智能合约安全。 他们宣称是世界上首屈一指的bug赏金平台!原创 2022-07-20 21:52:39 · 3591 阅读 · 0 评论 -
安全工具之hackingtool
All in One Hacking tool For Hackers🥇全部用于安全的工具原创 2022-07-14 09:56:31 · 3842 阅读 · 0 评论 -
windows驱动数字签名之WHQL完整流程 | WHQL认证环境部署以及HLK测试
由于受微软信任的Digicert,Entrust,Sectigo,Thawte等第三方驱动代码签名交叉证书已全部过期,微软不再接受EV代码签名证书为驱动程序进行内核数字签名。取而代之的是需要对驱动程序做WHQL认证(微软徽标认证)。WHQL认证,也叫Windows徽标认证,由美国微软公司(Microsoft)设立的认证,Windows微软徽标认证的全名为Windows Hardware Quality Labs(WHQL)。......原创 2022-06-24 16:45:13 · 8035 阅读 · 14 评论 -
云原生安全之RASP技术(应用运行时自我保护)
当传统边界安全防护产品在云原生场景下逐渐失效时。我们似乎可以改变思路,我们可以将安全深入到应用层级,将其融合至应用程序运行环境和开发语言中,从而为应用程序提供全生命周期的动态安全保护,为云时代应用安全提供安全保障。RASP被喻为网络安全的"免疫血清"。Gartner 在2014年将 RASP 定义为应用安全领域的关键趋势。在具体实现上,这种技术可以和应用程序绑定在一起,像“免疫血清”一样注入到应用程序里,使应用程序在运行时实现自我安全保护,能够帮助客户有效防护已知和未知攻击。...原创 2022-06-19 08:08:52 · 3863 阅读 · 8 评论 -
一文带你了解云原生安全 | 云安全解决方案(CASB、CSPM、CWPP、CNAPP)
据Gartner分析师表示,到2025年,超过85%的企业将接受云优先原则,超过95%的新数字工作负载将被部署在云原生平台上,而在2021年这一比例只有30%。在这样的背景下,云原生安全问题逐渐引起了大家重视。...原创 2022-06-13 20:23:15 · 17606 阅读 · 5 评论
分享