理论知识
学习中记录总结的理论知识等
aryaX
这个作者很懒,什么都没留下…
展开
-
Open Web Application Security Project(OWASJ) Top 10
1.访问控制崩溃通过身份验证的用户,可以访问其他用户的相关信息。没有实施恰当的访问权限。攻击者可以利用这个漏洞去查看未授权的功能和数据。常见表现形式:越权访问。可以通过修改URL,内部应用程序状态或者HTML页面绕过访问控制检查。API要对POST,PUT,DELETE请求做强制执行访问控制。防范:除公有资源外,默认情况下拒绝访问;严格判断权限;记录失败的访问控制;对API和控制器的访问进行速率限制,以最大限度降低自动化工具的危害;当用户注销后,服务器上的JWT令牌应失效。2.敏感数据暴露很原创 2022-05-08 17:49:08 · 898 阅读 · 0 评论 -
分组密码与流密码
分组加密 明文被分为固定长度的块(即为分组),对每个分组用相同的算法和密钥加解密。 分组长度:64b,128b,256b。明文不是上述整数倍时,在其后填充。填充内容可自选,一般0。而且填充也可掩盖真实长度。 密文长度与明文长度相同:①密文长度不能小于明文长度,因为这样就会出现不同明文产生相同密文的情况,就是不可逆的了,解密时不行;②密文长度可以大于明文长度,但是这样会使效率降低。所以一般都是选择二者相同长度。 流加密 每次加密数据流的一位或一字节,连续处理。异或 算法结构:...原创 2021-12-04 21:07:30 · 1823 阅读 · 0 评论 -
信息安全框架——三个方面
一、安全攻击常见类型,分类:主动,被动被动攻击的特性是对传输进行窃听和检测。目标是获得传输的信息。信息内容的泄露和流量分析都属于被动攻击。重点是预防而非检测。主动攻击:对数据流进行修改或者伪造数据流,具体为伪装实体,重放、消息修改以及拒绝服务。二、安全服务的类型及概念安全服务是一种由系统提供的对系统资源进行特殊保护的处理或通信服务。6种 机密性:防止传输的数据遭到被动攻击。加密数据。 完整性:保证发出和收到的消息一致,未被复制,修改,插入,更改顺序或重放。 可用性:系统资原创 2021-12-04 20:52:40 · 3432 阅读 · 0 评论 -
2021-06-10
切换到rootsu root原创 2021-06-10 14:13:53 · 52 阅读 · 0 评论