密码学简介
- 密码学4个目标:机密性、完整性、认证、不可否认性;
- 密码学常用语:
- 明文:未加密处理前的信息;
- 密文:可以使用加密将明文变为密文,也可以解密;
- 算法;
- 密钥:一种算法定义一个密钥空间
- 加密技术:对称加密和非对称加密 、通过哈希算法变换数据
- 对称加密:将明文使用一个密钥通过某种算法进行处理,得到密文。优点是随数据量的增加速度效益更加显著,在现代服务器和其他技术中应用的某些认证技术中占一席之地。缺点是缺乏管理密钥系统,且系统中没有明确的提供不可否认性能力的手段。凯撒密码是最早且较为简单的对称加密系统之一。
- 非对称加密:系统的参与者颁发两个密钥:公钥(任何请求者可无限制的访问的密钥)和私钥(私有的未经专门分配不可访问)。优点:密钥管理和解决不可否认性的方法。缺点是数据量越大性能越差。
- 哈希算法是数据变换的另一种方法,哈希操作的目标是验证期望加以该层保护的信息的完整性。哈希算法接收一段明文后,会以一种不可逆的方式将其转化为一段长度较短、位数固定的散列数据。两个特点:加密过程不可逆;输入明文与输出的散列数据一一对应,任何一个输入信息的变化都会导致最终输出的散列数据变化。
- 一种混合系统-使用数字签名
- 使用PKI(公钥基础设施):PKI提供了一种将一个公钥对安全地附加到某一特定方或个人的方法
渗透测试方法学综述
- 确定工作目标和范围
- 选择要执行的测试类型:黑盒测试(不提供网络内部情况,需时间长)、灰盒测试(有限了解网络内部情况)、白盒测试(要知道评估环境的所有信息,时间较短)
- 通过签订合同获取许可:进行渗透测试关键原则之一就是要获得明确无歧义测试许可,合同中应该包含:
- 要评估的系统或对象;
- 预知的风险;
- 时间表;
- 系统知识;
- 发现严重问题时应采取的措施;
- 可交付的结果
- 测试的开始:收集情报、扫描与枚举(ping扫描、端口扫描和漏洞扫描,枚举是从发现的入口信息和扫描过程中发现的信息中提取有用信息的过程)、渗透目标(用到的方手段包括:密码破解、流量嗅探、会话劫持、暴力攻击、中间人攻击)、维持访问、隐藏痕迹、记录测试结果、了解EC-Council流程(道德黑客证书:踩点、扫描、枚举、系统攻击、提取、隐藏痕迹、维持访问)
- 依法测试
814
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
