**简单安全消息系统**
先用一个比喻解释,如果给快递员几个包裹和各自对应的地址,快递员就能正确把包裹送到指定地点。
技术上解释,简单信息系统是一种允许应用程序或服务间收发消息的通信机制,
这种系统通常有一个消息队列,而简单消息系统(快递员)作为一个中间储存来保证消息(小包裹)被正确处理和传递(送到指定地址)
?*
哈希函数的应用:密码储存,下载软件的完整性
网络安全的五大特征:保密性,完整性,可用性,不可否认性,稳定性
网络威胁:恶意代码,远程入侵,拒绝访问,身份假冒,信息窃取和篡改
密码算法分类:古典密码,对称密钥体制,非对称密钥体制
系统信息安全:账户安全,文件系统安全,其他信息安全
按照注入点类型分类:数字型注入点,字符型注入点,搜索型注入点
按照提交方式:Get注入,Post注入,Cookie注入,http头注入
数字签名:可信,不可伪造,不可复制,不可改变,不可抵赖
密码设计原则:简单实用,抗攻击性,算法公开化原则
数字签名过程和验证过程
发送: Hash 变换一次得到消息摘要,再私钥加密一次变成数字签名附在报文后。
(2)用数字签名和hash函数各变换一次,如果两次相同说明消息没被篡改
对称/非对称:
?*
数据发送过程
1.生成数据摘要:
数据经过散列函数处理,形成hash摘要值
2.签名:
alice私钥签名,形成签名值
3.准备数据包:
-数据包包括原始数据、Alice的证书,签名值。
4. 生成会话密钥:
-Alice 生成一个共享密钥(会话密钥)。
5.加密数据包:
-使用会话密钥对数据包进行加密
6.加密会话密钥:
- 使用Bob的公钥对会话密钥进行加密,生成加密的会话密钥。
7.发送:
-将加密的会话密钥和加密的会话数据发送给Bob。
2. **SQL注入流程**:
在一些没有对sql注入保护的简单前后端页面,我们提交的内容会被整合进sql语句来执行任务,所以可以可以利用提交的东西改写sql语句的功能,来访问不属于我们权限的内容,或者执行违规的操作破坏数据库,
SQL注入是一种攻击技术,攻击者通过在输入字段中插入恶意SQL命令来欺骗后端数据库执行非授权的数据库操作。
比如select 元素 from 表 where id =$🐶(🐶是我们可以输入的
我们把🐶换成1时,会查询第一行的内容
但如果我们把🐶换成1 or 1=1 时,会因为永真,后端数据库代码遍历数据库,窃取到其他用户的数据
再比如输入 kobe' or 1=1#
select 元素 from 表 where username ='🐶';
变成...于是 #把'注释掉,造成sql注入,数据库被读出
5. **病毒永恒之蓝的治疗流程与防范**:永恒之蓝是一种利用Windows SMB协议漏洞传播的勒索软件。rsa和aes算法
寻找ms17-010漏洞,发送恶意数据包,执行远程代码,横向传播
防范措施包括安装安全补丁、关闭445端口、关闭网络共享、使用杀毒软件和定期备份重要数据⁸⁹。
3**RSA算法**
一种非对称加密算法,用公钥加密数据,用私钥解密数据,为大数分解的复杂性保障了rsa算法能安全传输数据,即使是在不安全的通道上
比如pq 7 11
n=p*q 77
d=p-1)*(q-1 60
选一个与pn互素的公钥,由欧几里得公式转化为 e_d-_φ(n)n=1 13e-60n=1
不断用大mod小,余换大,直到其中一个为1
再反复回代得到公钥值
病毒程序:引导模块、传染模块和发作模块
按照病毒的破坏情况分类:良性病毒 恶性病毒 极恶性病毒 灾难性病毒
3. **DES算法**:DES(Data Encryption Standard)是一种对称密钥加密算法,使用56位密钥对64位数据块进行加密。
它包括初始置换、(按表排序)
16轮加密过程和最终逆置换。每轮加密包括扩展置换
、与子密钥异或、S盒替换(行列
、P盒置换
等步骤¹²。
用比喻的解释,在把拼图撕碎打散位置前背面写上中文,这样会中文的人只要把背面的中文重新组合起来,就能把正面的拼图也正确恢复过来,(中文就相当于des算法,只有掌握映射规则才能正确恢复原本字符的位置
//
凯撒密码就像是古代将军在战场上发送密信时使用的秘密语言。想象一下,将军(发送者)需要将一个重要的指令传达给远处的士兵(接收者),但他不希望敌人(未授权的第三方)能够读懂这个指令。
比喻过程:
将军决定将每个字母在字母表中向右移动三个位置。比如,‘A’变成’D’,‘B’变成’E’,以此类推,直到’Z’变成’C’。
于是,一条像“ATTACK AT DAWN”(黎明时分进攻)的指令就会被编码成“DWWDFN DW GDZQ”。
这条编码后的信息就可以安全地通过战场,即使敌人截获了这条消息,也无法理解其真正含义。