密码学学习总结

最新推荐文章于 2021-01-07 11:38:00 发布
最新推荐文章于 2021-01-07 11:38:00 发布
阅读量900 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42299862/article/details/111656187
版权
本文总结了密码学的关键概念,包括完整性保护的哈希、MAC、HMAC和数字签名,以及机密性的对称加密、非对称加密和不可逆加密。重点介绍了HTTPS的工作逻辑,SSL/TLS的区别,以及数字证书的角色。还提到了TLS的常见漏洞和加密通讯的安全机制。
摘要由CSDN通过智能技术生成

信息安全的基本属性(机密性,完整性,可用性,真实性,可控性)
一、完整性保护
1、hash
哈希算法,又称消息摘要算法,单向散列。对任意给定的数据生成一个定长的摘要。
https://www.cnblogs.com/austinspark-jessylu/p/9549260.html
现在MD5(2010年已被破解)和SHA-1(基于MD5,2014年已被破解)都已经证实不安全了,可以用SHA256。(https://blog.csdn.net/shsalex/article/details/52329109)

2、mac
消息认证码,用于验证消息完整性,确保收到的数据和发送的数据一致。
使用密钥作用于消息,生成固定大小的数据块,放在消息的尾部。这里通信双方使用同一个密钥即可,是对称加密。
https://blog.csdn.net/qq_41137136/article/details/86482650

3、hmac
基于hash函数进行加密的mac,称为hmac。

4、数字签名
(消息认证是先密钥加密再hash,数字签名是先hash再私钥加密。)
https://blog.csdn.net/zmx729618/article/details/78485665
使用RSA2048\DSA2048较多。

二、机密性保护
1、对称加密(可逆加密)
流加密 RC4
分组加密 DES\AES128,分组模式CBC不安全、推荐使用GCM。
分组工作模式:https://blog.csdn.net/jerry81333/

最低0.47元/天 解锁文章
小猫咪不想写代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j 安全问题验证demo & CRLF注入漏洞
weixin_42299862的博客
12-31 7708
一、环境准备 https://blog.csdn.net/weixin_42299862/article/details/111993837 二、demo 1、使用 @Log4j2 log.error() 打印异常日志是否会泄露敏感信息? https://www.cnblogs.com/huanghuanghui/p/11775731.html https://www.cnblogs.com/qlqwjy/p/7192947.html 代码如下 如果有红线语法错误,参考https://blog.csdn.n
XSS能有什么危害?
weixin_42299862的博客
10-12 4569
上次学习了一篇很好的文章以后,写了https://blog.csdn.net/weixin_42299862/article/details/108518706这么一篇读后感~现在继续总结一下,XSS能造成多大的危害。 1、cookie劫持 通过XSS漏洞,我们可以轻易的将javascript代码注入被攻击用户的页面并用浏览器执行。 如果用户的cookie没有设置Httponly,在javascript中可以通过“document.cookie”来获取用户的cookie内容,并可以轻易的发送到任意黑客指定的
两周Linux学习总结
最新发布
03-09
* 命令 passwd:用于修改密码,passwd 命令可以修改用户的密码。 搜索文件 * 命令 which:用于查找可执行文件的绝对路径,which 命令可以查找指定命令的绝对路径。 * 命令 whereis:用于查找文件,whereis 命令...
通信工程学习总结.doc
11-22
4. 通信系统安全与保密:研究通信安全技术,包括密码学、安全协议设计、移动通信系统的安全性分析,以及信息安全保障体系的构建。 5. 智能信息处理系统理论与技术:探索利用人工智能和机器学习方法来优化信息处理,...
oracle学习总结.docx
05-03
Oracle 学习总结 Oracle 是一种关系数据库管理系统,由 Larry Ellison 和 Bob Miner 于 1977 年创立。它是一种对象关系数据库管理系统,支持多种编程语言,包括 Java、Python、C++ 等。 一、创建 Oracle 数据库...
mysql学习总结.docx
03-11
MySQL数据库学习总结 MySQL 是一种关系数据库管理系统(RDBMS),它被广泛应用于 Web 应用程序中。学习 MySQL 是一个非常重要的任务,以下是 MySQL 学习笔记中的重要知识点总结。 一、备份和恢复 mysqldump 命令...
通信工程科目学习总结范文.doc
11-22
4. 通信系统安全与保密:在信息安全日益重要的今天,这一方向致力于密码学、安全协议和移动通信安全体系的设计与分析,以保障信息网络的安全。 5. 智能信息处理系统理论与技术:利用人工智能和机器学习方法来处理和...
“Content-Security-Policy”头缺失或不安全
热门推荐
weixin_42299862的博客
07-06 2万+
https://server.51cto.com/sSecurity-576115.htm?mobile https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP response通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 “Con
request header中的host伪造
weixin_42299862的博客
06-18 6835
一、 request header 中host的作用 转载:https://www.xuebuyuan.com/491841.html 在早期的Http 1.0版中,Http 的request请求头中是不带host行的,在Http 1.0的加强版和Http 1.1中加入了host行。 如: GET / HTTP/1.1 Host: www.google.com.hk … 一个IP地址可以对应多个域名: 一台虚拟主机(服务器)只有一个ip,上面可以放成千上万个网站。当对这些网站的请求到来时,服务器根据Host
basic认证把用户名密码放在request header中,这样安全吗?
weixin_42299862的博客
07-15 5442
一、背景 在postman调试的时候我们会选择认证方式是basic auth,即 说明该项目是一个Authorization项目 参考https://blog.csdn.net/luckyzsion/article/details/80216861整理出http auth的过程: 1、客户端发送http请求 2、服务器发现配置了http auth,于是检查request里面有没有"Authorization"的http header 3、如果有,则判断Authorization里面的内容是否在用户列表里面
DOM型XSS
weixin_42299862的博客
12-16 4320
一、介绍 反射型和存储型都是通过后台输出,DOM xss是纯前台的漏洞 • 反射型 发出请求时,XSS代码出现在URL中,作为输入提交到服务器,服务器解析后响应,在响应的内容中出现这段XSS代码。大多只能影响单一用户。 • 存储型 提交的XSS代码会存储在服务端(数据库、内存、文件系统等),下次请求目标页面时不用再提交XSS代码。可能会影响到网站的众多用户。 • DOM型 DOM XSS的XSS代码并不需要服务器解析响应的直接参与,触发XSS靠的就是浏览器端的DOM解析,可以认为完全是客户端的事情,无法通过
xss注入点总结
weixin_42299862的博客
07-07 4176
一、标签中间<><> 1、可能存在于:<textarea> <p> <a> 2、可以直接F12在html进行注入(<p><img></p>),如果编码了(<p>&lt;img&gt;</p>)就没xss问题。没过滤则有xss问题(<p><img></p>)。 3、这里补充一个“双写绕过” https://cloud.tencent.com
HTML xmlns 属性
weixin_42299862的博客
03-07 2785
问题:做WEB页面的人经常会碰到形如这样的代码,那后面的xmlns是表示什么意思呢? 1、xmlns是xml namespace的缩写,也就是XML命名空间,xmlns属性可以在文档中定义一个或多个可供选择的命名空间。 该属性可以放置在文档内任何元素的开始标签中。该属性的值类似于URL,它定义了一个命名空间,浏览器会将此命名空间用于该属性所在元素内的所有内容。 2、为什么需要这个xmlns呢? 比...
Mysql使用SSL进行安全连接
weixin_42299862的博客
03-28 2681
一、服务器端强制每个接入系统网络的用户使用SSL/TLS安全传输协议----------这时候就不用管客户端配置了 使用GRANT语句使所有用户均使用SSL GRANT USAGE ON . TO <my_user>@ REQUIRE SSL; 检查每个用户返回的ssl_type值为ANY, X509, 或 SPECIFIED。 SELECT user, host, ssl_type ...
Shell脚本经典之Fork炸弹
weixin_42299862的博客
01-07 2033
https://www.cnblogs.com/cat520/p/9342657.html 一、什么是fork炸弹 .() { .|.& };. 即: :() { :|: & } ; : 第 1 行说明下面要定义一个函数,函数名为小数点,没有可选参数。 第 2 行表示函数体开始。 第 3 行是函数体真正要做的事情,首先它递归调用本函数,然后利用管道调用一个新进程(它要做的事情也是递归调用本函数),并将其放到后台执行。 第 4 行表示函数体结束。 第 5 行并不会执行什么操作,在命令行中
XML内容注入
weixin_42299862的博客
03-07 1441
一、介绍 XML注入主要分为内容注入和实体注入。 内容注入分为XML数据注入、样式表注入、XPATH/XQuery注入。 二、前提条件:有入口用户可修改XML 三、初步测试步骤 (1)检查系统设计文档/代码飞检/访谈,检查服务器文件,收集出所有的XML存储文件 (2)检查所有XML存储文件的外部输入位置(如web页面输入或修改参数值的位置),通过burpsuit绕过客户端校验,使提交的参数值包含&...
XSS能干啥?
weixin_42299862的博客
09-10 1144
经常被问到:XSS只能弹框吗? 这个帖子很好的解读了xss的危害,感谢作者~~ https://www.xf1433.com/4020.html xss获取用户cookie如此简单,你学会了吗? 围观人数:28106 日期:2017-12-27 22:50:54  利用别人的cookie,他们可以冒充真实的用户,在颁发cookie的那个网站中为所欲为,个人隐私在他们面前根本不存在。 接下来这篇文章以3个兄弟之间的对话进行讲解。 运气好的话连别人的用户名和密码都能得到,那就一通百通,因为大家都嫌麻烦,总是使用
加载不可信的YAML格式的文件或字符串时,调用默认的yaml.load不安全
weixin_42299862的博客
03-28 1119
一、 什么是yaml格式文件的解析? yaml是一种类似xml和json的用于格式化数据的标记语言,解析即将yaml文件加载为一个Map对象。 举个例子,这是一个yaml文件 python: 3.5.3 postgres: 9.3 解析后该文件加载为一个Map对象: {‘python’: ‘3.5.3’, ‘postgres’: 9.3} 二、系列化和反序列化 序列化是将对象转换成字节流的过程,而...
如何防御xss?HTML编码和JS编码
weixin_42299862的博客
07-10 980
https://www.jianshu.com/p/c0dc4bbab8e8 <p>${content}</p> 如上述代码所示,在P标签中存在一个输出变量${content},浏览器解析的过程,首先是HTML解析,解析到P标签时,解析Content的内容,然后将其在页面显示出来。 <p><script>alert("实体XSS");</script></p> 如果我们把Content的内容换成上面内容,即script脚本,那么浏览
密码学主要计算假设总结报告
报告《密码学主要计算假设的最终报告》深入探讨了密码学中的核心难题,旨在为密码学学习者提供一个全面的理解困难问题的平台。这份报告由ECRYPT II(欧洲密码学卓越网络第二阶段)项目发布,该项目得到了欧盟第七...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值