安全
文章平均质量分 93
安全
ZWZhangYu
这个作者很懒,什么都没留下…
展开
-
OWASP API安全Top 10
OWASP API安全Top 10的发布,第一次在公众视野中理清了API安全的常见问题类型,同时也从API生命周期管理、纵深防御的安全设计思想上,为API安全的综合治理提供了指导方向。当然,作为API安全的第一个版本,也会有它的不足,比如笔者认为API1与API5对问题成因的阐述,没有传统的Web安全中对水平越权、垂直越权的描述清晰,容易导致问题归类划分的混乱,但仍有理由相信,OWASP API安全Top 10对业界的重大意义,未来的版本发布更值得期待。原创 2022-12-18 16:10:34 · 1071 阅读 · 0 评论 -
《API安全技术与实战》 读书笔记 API的前生今世和API安全的演进
API安全是从安全的角度关注API领域的安全问题和这些问题的解决方案,从技术和管理两个层面提高API自身和API周边生态的安全性。原创 2022-12-18 16:05:58 · 611 阅读 · 0 评论 -
开源组件漏洞检查工具实践分析
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目中存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目中使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境中的三方组件依赖资产,并有效管理。支持语言:目前支持 Java、JavaScript、Golang 、Python 语言项目的检测...原创 2022-08-28 11:07:18 · 4091 阅读 · 0 评论 -
如何定位不需要的Jar依赖 loosejar工具和maven工具实践分析
对于loosejar更适合将它集成到日常的开发中或者集成到研发测试环境,在运行过程中做好依赖信息的记录,并在运行一段时间后进行依赖的对比分析,根据分析结果选择性的排除一些不需要的依赖信息。原创 2022-08-20 17:32:45 · 3254 阅读 · 5 评论 -
IDEA敏感数据检测实践整理
洞态 IAST插件通过插桩方式获取请求和响应数据并发送到平台上面,帮助我们分析和匹配安全漏洞以及敏感数据通过示例可以看到,洞态 IAST的敏感信息检测可以捕获各类请求和响应数据,基本涵盖了日常开发涉及的交互数据。洞态 IAST敏感信息检测通过正则表达式进行数据的匹配检测,对于一般的固定格式的数据非常适用,比如手机号码,身份证等等,只要我们根据具体的数据格式写出合适的正则即可。...原创 2022-01-08 10:08:38 · 2389 阅读 · 0 评论 -
应用安全漏洞扫描问题处理整理
安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。原创 2021-09-04 08:52:40 · 5457 阅读 · 0 评论 -
Base64编码原理分析
文章目录一、认识(一)认识(二)计算(1)规则(2)示例(3)Base64编码转换表二、网页图片转base64编码分析(一)Data URI(二)图片转Base64分析(1)认识(2)图片使用base64编码优点一、认识(一)认识Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性,需要解码后才能阅读。(二)计原创 2021-04-24 11:29:27 · 3846 阅读 · 0 评论 -
JDK密码开发实践参考——思维导图分享
原创 2020-11-18 17:51:02 · 1755 阅读 · 0 评论 -
非对称加密——RSA算法JAVA代码实践
文章目录说明RSA加解密测试代码打印输出说明1:下面代码参考自《JAVA加密解密的艺术》,有部分修改,详见原理见原书2:下面代码是RSA在JAVA中API级别的代码实现,具体实现原理见前面章节3:下面代码中只需要JDK即可,其中为了便于阅读使用了commons-codec中Base64编码4:公钥密码既可以公钥加密私钥解密,又可以私钥加密公钥解密,但注意加密解密必须是RSA加解密import javax.crypto.Cipher;import java.security.*;import原创 2020-11-18 17:41:32 · 1976 阅读 · 0 评论 -
图解密码技术——思维导图总结
原创 2020-11-18 13:21:18 · 2999 阅读 · 0 评论 -
安全架构设计基础——思维导图总结
原创 2020-11-17 10:28:18 · 2058 阅读 · 0 评论 -
密码技术与现实社会
文章目录(一)密码学家的工具箱1、对称密码2、公钥密码3、单向散列函数4、消息认证码5、数字签名6、伪随机数生成器(二)密码技术的框架化(三)密码技术与压缩技术(四)总结(一)密码学家的工具箱1、对称密码对称密码是一种用相同的密钥进行加密和解密的技术,用于确保消息的机密性。在对称密码的算法方面,DES和三重DES曾被广泛使用,但今后将逐步过渡到AES。尽管对称密码能够确保消息的机密性,但需要解决将解密密钥配送给接收者的密钥配送问题。2、公钥密码公钥密码是一种用不同的密钥进行加密和解密的技术,和对称原创 2020-10-28 16:22:20 · 1926 阅读 · 1 评论 -
SSL/TLS
文章目录(一)介绍(二)客户端和服务端(三)SSL和TLS区别(四)使用SSL/TLS进行通信(五)TLS小结(六)对SSL/TLS的攻击(一)介绍SSL/TLS是世界上应用最广泛的密码通信方法。比如说,当在网上商城中输人信用卡号时,我们的Web浏览器就会使用SSL/TLS进行密码通信。使用SSL/TLS可以对通信对象进行认证,还可以确保通信内容的机密性。SSL/TLS中综合运用了对称密码、消息认证码、公钥密码、数字签名、伪随机数生成器等密码技术。严格来说,SSL ( Secure Socket La原创 2020-10-28 16:20:40 · 2399 阅读 · 1 评论 -
证书
文章目录(一)介绍(二)公钥基础设施PKI(三)对证书的攻击(一)介绍公钥证书( Public-Key Certificate,PKC)其实和驾照很相似,里面记有姓名、组织、邮箱地址等个人信息,以及属于此人的公钥,并由认证机构(Certification Authority.CertifyingAuthority,CA)施加数字签名。只要看到公钥证书,我们就可以知道认证机构认定该公钥的确属于此人。公钥证书也简称为证书( certificate )。认证机构就是能够认定“公钥确实属于此人”并能够生成数字原创 2020-10-28 16:18:11 · 2014 阅读 · 1 评论 -
安全技术 数字签名
(一)介绍数字签名是一种将相当于现实世界中的盖章、签字的功能在计算机世界中进行实现的技术。使用数字签名可以识别篡改和伪装,还可以防止否认。通过消息认证码,我们可以识别消息是否被篡改或者发送者身份是否被伪装,也就是可以校验消息的完整性,还可以对消息进行认证。然而,在出具借条的场景中却无法使用消息认证码,因为消息认证码无法防止否认。消息认证码之所以无法防止否认,是因为消息认证码需要在发送者Alice和接收者Bob两者之间共享同一个密钥。正是因为密钥是共享的,所以能够使用消息认证码计算出正确MAC值的并不只原创 2020-10-28 16:16:56 · 5669 阅读 · 1 评论 -
单向散列函数
文章目录(一)介绍(二)单向散列函数的性质(三)碰撞性(四)相关术语(五)单向散列函数的应用(六)单向散列函数的具体例子(七)单向散列函数无法解决的问题(一)介绍单向散列函数,就是一种采集文件指纹的技术。单向散列函数所生成的散列值,就相当于消息的指纹。单向散列函数( one-way hash function)有一个输人和一个输出,其中输人称为消息( message ),输出称为散列值( hash value )。单向散列函数可以根据消息的内容计算出散列值,而散列值就可以被用来检查消息的完整性。这里原创 2020-10-28 16:13:53 · 3387 阅读 · 0 评论 -
混合密码系统
文章目录(一)背景(二)介绍具体步骤(三)注意事项(一)背景公钥密码存在两个很大的问题。(1)公钥密码的处理速度远远低于对称密码。(2)公钥密码难以抵御中间人攻击(二)介绍混合密码系统( hybrid cryptosystem)是将对称密码和公钥密码的优势相结合的方法。一般情况下,将两种不同的方式相结合的做法就称为混合( hybrid )。混合密码系统中会先用快速的对称密码来对消息进行加密,这样消息就被转换为了密文,从而也就保证了消息的机密性。然后我们只要保证对称密码的密钥的机密性就可以了。这原创 2020-10-28 16:12:17 · 6769 阅读 · 2 评论 -
公钥密码(非对称加密)
文章目录(一)秘钥配送问题(二)公钥秘钥(1)介绍(2)公钥通信流程(三)RSA(1)介绍(2)加密和解密(3)生成密钥对(4)生成密钥对详细步骤(一)秘钥配送问题在对称加密的过程中,A如果想要给B发送信息,那么A需要将秘钥告诉B,然后B通过秘钥进行解密。但是在秘钥的发送过程中有可能被窃听者拦截并破解密文。解决密钥配送问题的方法有以下几种:1:通过事先共享密钥来解决2:通过密钥分配中心来解决3:通过Diffie-Hellman密钥交换来解决4:通过公钥密码来解决公钥密码解决秘钥配送问题在对原创 2020-10-27 20:26:14 · 3027 阅读 · 1 评论 -
分组密码的模式
文章目录(一)介绍(二)CBC模式(三)CFB模式(四)OFB模式(五)CTR模式(六)分组模式总结(一)介绍密码算法可以分为分组密码和流密码两种。分组密码是每次只能处理特定长度的一块数据的一类密码算法,这里的“一块”就称为分组( block )。此外,一个分组的比特数就称为分组长度( block length )。例如,DES和三重DES的分组长度都是64比特。这些密码算法一次只能加密64比特的明文.并生成64比特的密文。AES的分组长度可以从128比特、192比特和256比特中进行选择。当选择1原创 2020-10-27 20:23:20 · 2021 阅读 · 2 评论 -
对称密码(共享秘钥密码)
文章目录(一)一次性密码本(二)DES(三)三重DES(四)AES(一)一次性密码本原理:将明文与一串随机的比特序列进行XOR运算加密1:将明文转换得到一串比特序列,明文2:随机生成一串和明文比特序列等长的比特序列,秘钥序列3:将明文和秘钥序列进行XOR运算得到密文,密文解密1:将密文和秘钥序列进行XOR运算2:即二次XOR操作得到原明文数据一次性密码本是无法破译的一次性密码本是无法破译的,不过这里的无法破译不是指在现实时间内难以破译,而是我们在进行暴力便利秘钥空间时我们会得到很多种结原创 2020-10-27 20:20:17 · 3880 阅读 · 1 评论