ssl/hash/彩虹攻击/jwt/token,常见网络安全问题及策略概述

最新推荐文章于 2024-04-24 14:59:27 发布
最新推荐文章于 2024-04-24 14:59:27 发布
阅读量442 收藏
点赞数 1
分类专栏: web安全 文章标签: java cookie jwt https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35772435/article/details/113440986
版权

声明: 概述性博文, 附各主题中感觉写的比较清晰的博文链接.

SSL/TLS

从一开始的http到安全的https, 区别在于加了SSL协议. 关于证书:

  1. server生成pubic key和private key, 简称pubKey和priKey

  2. server向CA申请证书, 将pubKey和自己的相关信息发送给CA机构. CA机构用自己的CAprivateKey进行签名, 并将签名返回给server, server保存之

  3. CA的公钥是公布的, 保存在浏览器里.

  4. client可以通过使用CA的公钥对server的证书进行验证, 可以确信这个证书确实是经过CA认证的.
    SSL其他密钥交换详细过程参考: https://blog.csdn.net/alinyua/article/details/79476365

用户密码加密

有了https固然有一定的安全性, 因为双方所有的谈话都是加密的. 但是仅仅是谈话过程不会被窃取是不构的, 像密码这样的信息如果在浏览器或者服务器上以明问形式存储, 攻击者一旦攻克, 就可能直接获取了用户的密码.
因此必须有一种措施: 密码不以明文形式存在, 这就是密码的加密.
通常情况下:

  1. 客户端保存密码的hash值(此处命名为"ha"), 这只是一种微弱的保护, 因为如果知道了ha, 破解只需要得到字典, 如果是一般的密码网上可下载的字典中就可能包含了, 当然如果用户足够心机可能需要非常大的字典甚至暴力破解.(我甚至怀疑, 攻击者直接模拟一个登陆请求并将ha上传即可, 破解ha不需要)

  2. 服务器收到这个ha, 然后随机生成一个盐值(sault), 对这个ha加盐后再进行一次hash(生成的值此处命名为hb=hash(ha+sault)), 数据库中存放的是sault和hb. 之所以这么做是为了防止彩虹攻击. 彩虹攻击也是一种字典攻击. 攻击者在获取数据库数据后, 如果没有这个加盐操作, 攻击者只需要一个字典就可以破解所有密码(或者大量的密码). 但是如果加了盐值, 攻击者需要首先还原ha, 但是正由于加了盐值, hb毫无规律可言, 完全可能超出了彩虹表的范围.(彩虹表中的密码可能是常用的或者其他网站上已破解的那种), 而暴力破解基本是不可能的, 所以要想破解只有一个方法: 针对这个盐值重新构造一个字典. 也就说每要破解一个hb, 都需要重新构造字典. 这样的工作量emmm攻击者表示: 你魔鬼吧!

jwt token和cookie

​ 用户登陆后, 不可能访问server都传输用户名密码, 而http又是无连接的, 因此需要约定一种能代表用户信息的东西, 登陆之后只需要传输这个东西就能代表一个用户. 最一开始使用的是cookie. server创建一个session, 并将sessionId返回给client, client将其保存为cookie, 每次请求该server时都将带有这个cookie.
但是cookie模式有几个问题:

  1. server存放session量达到一定的规模后, 会造成巨大的负担(session是存在内存中的, 就算借助redis也是一种不可忽略的开销)
  2. 在分布式模型中, 由于session只存在于登陆的那个server, 因此如果client要访问其他server, 存储的那个cookie是无效的.(无法解决跨域访问)
  3. CSRF攻击: 攻击者写一个html文件, 其中有:<script src="http://www.bank.com/transport?amount=100000&to=attacker">(访问银行转账链接,向attacker转账100000)

而jwt( json web token)可以很好的解决这些问题

  1. 用户给出用户名密码, 服务器验证通过后
    生成:

    1. header, 包含签名算法
    2. payload, 用户名等非秘密信息(但代表了这个用户)+当前时间+token有效时间
    3. signature, 使用header中指定的算法
      String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
      将token = base64UrlEncode(header).base64UrlEncode(payload).signature 返回给客户端

  2. 客户端每次请求时需要携带这个信息, 服务器使用header指定的算法和本地存储的盐值对header和payload进行加密(实际是一种摘要算法不可逆),再与signature进行对比服务器通过payload中的信息知道: 某用户在某时间登陆过; 通过signature知道: payload信息不是造假的(因为盐值只有服务器知道)

  3. 防止CSRF: 因为cookie在登陆后, 每次请求服务器都会携带, 攻击者可以在不知道cookie的情况下让客户端向服务器发送[攻击者伪造的请求],详解:https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369, 但是token必须手动添加, 要想向服务器发送请求必须是本地直接发起. 比如get请求: 客户端可以有: <a href="xxxx?token=xxx">, 但攻击者无法让客户端发起这个请求, 因为攻击者不知道这个token值. 也就无法进行类似: <script src="http://www.bank.com/transport?amount=100000&to=attacker"> 的攻击.

yuyang_ing
关注
专栏目录
网络安全自学教程》- SSL/TLS协议详解
wangyuxiang946的博客
04-16 1万+
讲解SSL协议执行原理、报文格式,使wireshark抓包分析ssl协议工作过程。
K8s(十五):节点kubeadm join报错 The HTTP call equal to ‘curl -sSL http://localhost:10248/healthz‘
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-10 1万+
🔴 K8s(十五):节点kubeadm join报错 The HTTP call equal to ‘curl -sSL http://localhost:10248/healthz‘
彩虹表ophcrack-3.8.0密码破解之王
07-14
彩虹表(Rainbow Table)是一种破解哈希算法的技术,是一款跨平台密码破解器,主要可以破解MD5、HASH等多种密码。它的性能非常让人震惊,在一台普通PC上辅以NVidia CUDA技术,对于NTLM算法可以达到最高每秒103,820,000,000次明文尝试(超过一千亿次),对于广泛使用的MD5也接近一千亿次。更神奇的是,彩虹表技术并非针对某种哈希算法的漏洞进行攻击,而是类似暴力破解,对于任何哈希算法都有效。
【K8s】使用SSL+Token进行python连接kubernetes
jstang的博客
11-28 6197
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host=‘172.16.50.134’, port=6443): Max retries exceeded with url: /apis/apps/v1/namespaces/default/deployments/xnginx-deployment (Cause d by SSLErr...
gRPC — SSL/TLS单向认证、双向认证、Token认证
qq_56639722的博客
03-09 2520
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。
JWT(JSON WEB TOKEN) / oauth2 / SSL
weixin_30770495的博客
01-20 1174
1: JWT:   为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。   JWT是...
关于为客户端自签SSL证书的生成、颁发、鉴权与JWT + Token
pulledup的博客
08-16 1197
关于为客户端自签SSL证书的生成、颁发、鉴权 群里,有同行对自签SSL证书与Restful概念混淆,特撰写本文 第一篇 正确理解SSL证书的Restful API访问 有朋友一遇到Rest、Restful,立马下意识的问:“我客户端的组件代码该如何配置参数,才能识别我的自签SSL证书”?比如这位网友: “请教一下,看了TRestClient的属性,没有发现支持自签名https站点访问的证书配置,是不是调用自签名的https服务器的Restful...
jwt token注销_JWT生成token及过期处理方案
weixin_34118593的博客
01-27 4434
## 业务场景在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE、REACTJS等构建)使用token与后端接口交互,以达到安全的目的。本文结合stackoverflow以及本身项目实践,试图总结出一个通用的,可落地的方案。## 基本思路- 单个token1. token(A)过期设置为15分钟2. 前端发起请求,后端验证token(A)是否过期;如...
layui请求加token_GitHub - xiaozhu-CHN/layuimini-token: layuimini集成jwt实现token
weixin_31310913的博客
02-01 1461
layuimini集成jwt实现token介绍本项目是在layuimini项目的基础上增加jwttoken,感觉也挺多人用token的,注意项目只实现了iframe v2版集成token。拉取代码:iframe v2多tab版:git clone https://github.com/xiaozhu-CHN/layuimini-token -b v2onepage v2单页版:git clone...
SSL/TLS过程解析
Ethereal的博客
11-15 4275
首先我们为什么需要SSL? 互联网的通信安全,建立在SSL/TLS协议之上。SSL/TLS协议位于应用层和传输层之间,用于对上层数据包加密之后传输,同时进行身份、数据完整性校验。 简单地讲,SSL/TLS就是同时结合各种密码算法、数字签名算法及数字证书等技术的一套协议,目的就是为了保证通信的安全性。采用SSL/TLS协议,通信双方建立连接之前需要进行握手,目的是协商出会话密钥,用于后续对通信数据的加解密操作。
彩虹表的攻击与防御
qq_45768092的博客
10-19 1148
彩虹表的攻击与防御 通过学习本实验理解哈希算法的概念和彩虹攻击的原理以及进行相应实战并掌握针对彩虹攻击的防御要点。 实验简介 实验所属系列: 密码学 实验对象: 本科/专科信息安全专业 相关课程及专业: Python编程 实验时数(学分):2学时 实验类别: 实践实验类 预备知识 Hash**:**一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输
什么是彩虹攻击
weixin_44943389的博客
08-30 2568
因此,当用户登录时,系统会将其提供的密码进行哈希,然后将其与数据库中存储的哈希值进行比较。总之,彩虹攻击强调了密码的安全性重要性,用户应当使用足够强度的密码,并避免使用常见的弱密码,以减少密码被破解的风险。这使得即使两个用户使用相同的密码,由于不同的盐,他们的哈希值也是不同的。如果哈希值在彩虹表中找到了匹配,攻击者就可以通过查找对应的明文密码来获取用户的原始密码。预计算阶段:攻击者使用密码哈希函数和彩虹表生成算法,预先计算大量的哈希值和对应的明文密码,并将结果存储在一个庞大的彩虹表中。
彩虹攻击及密码加盐 rainbow attack and password salt
mutourend的博客
06-24 3057
What is rainbow attack? 彩虹攻击,是指攻击者存储了一个大的密码->hash字典表Rainbow Tables。相比于普通的字典表,Rainbow Tables经过了空间优化和查找优化。 A rainbow table is a large list of pre-computed hashes for commonly-used passwords. 通过获得一系列密...
SSL证书引发的微信公众平台token验证失败问题
qq_44689187的博客
08-10 1501
起因 第一次尝试用java去搭建一个微信公众平台,在验证token的时候遇到了各式各样的问题,很多在网上也没有找到比较合适的说法只能自己一步步尝试,在这里记录分享一下也希望其他的朋友能在遇到类似的问题时少走弯路 经过 起步的一些操作,比如如何申请微信公众号,代码中需要添加什么内容等在微信官方文档和其他博客中有详细说明,在此不做赘述。 我遇到的第一个验证失败是系统发生错误,请稍后重试 我是用的springboot启动项目,也查看了80端口是正常启动也可以访问网页的,这个错误后来经过排查,是springboo
高效的彩虹表密码攻击
01-14 8533
背景 为了保护账号安全,几乎所有网站都不会明文保存用户的密码,而是用哈希加密算法对密码进行计算,将得到的哈希串保存在数据库中。每次用户登录时会将用户提交的密码用同样的算法计算,并将结果与数据库中保存的哈希串比对以验证用户身份。 可以采用密码字典的方式对哈希密码进行“撞库”破解,这种方式对长度较短、组合简单的密码确实很有用,但是遇到复杂的密码时往往力不从心,这种情况下彩虹表破解法就很高效了。 哈希加密算法是不可逆的,也就是说无论是网站的数据库管理员还是获取了密码数据的黑客,能看到的只是一长串毫无意义的字符,不
TP6 JWT 以及本地 SSL证书
nuomai
08-19 237
JWT
理解彩虹攻击:颜色缤纷的威胁
最新发布
weixin_53840353的博客
04-24 481
彩虹表是一种特殊的查找表,用于破解哈希函数。它通过将可能的输入(如密码)与对应的哈希值配对来创建,并使用一系列的彩虹链来减少所需存储空间。每条彩虹链由一系列通过不同的哈希和还原函数连接的数据块组成。这种方法使得彩虹表可以在相对较小的空间内存储大量的输入和哈希值的对应关系。
还原 EOS“彩虹攻击始末,看小疏忽如何酿成大灾难
PeckShield的博客
07-27 389
最近,EOS中文治理社区EMAC,已经接到六起报告EOS丢失的事件,丢失的EOS数量从几十个到几十万个不等,直接造成上千万数字资产损失,而资产被盗的原因大多是开通账户注册过程中常见的小问题:比如,助记词选择,账户有效性核实等。事实上,这些问题如果持币者和开发者都具备一定安全认知的话,是可以被有效避免的。我们不妨来看看,这些容易被用户忽视的小问题,是如何酿成大灾难的呢?   近日,区块链安全公司...
SSL/TLS协议详解:安全互联网通信的基础
"SSL/TLS协议-https详解ppt" SSL/TLS协议是互联网上保障通信安全的重要机制,...随着网络安全威胁的不断演变,SSL/TLS协议也在持续更新,以适应更高级别的安全需求,例如最新的TLS 1.3版本,提高了加密速度和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值