摘要:
密码学之哈希/散列/杂凑算法 简介 密码散列函数或叫Hash函数,该函数将一个任意长的比特串映射到一个固定长的比特串。该函数在数字签名和消息完整性检测方面有广泛的应用。 散列算法的目的是为需要认证的数据产生一个“指纹”。为了实现对数据的认证,杂凑函数应该满足下列三个性质。 第一是单向性,也就 阅读全文
摘要:
TLS详解 简介 TLS是这样一种协议,跟前面IPsec保护网络层安全传输有所区别,TLS是基于TCP建立两个应用进程之间的安全连接。 在客户/服务器应用模式中,为了实现双向身份鉴别,仅仅在服务器端保留固定安全参数并进行单向验证是不够的。因此,有必要为每一次客户机和服务器之间的数据传输过程动 阅读全文
摘要:
IPSec协议 概述 IPsec是网际层实现IP分组端到端安全传输的机制,由一组安全协议组成。鉴别首部协议AH(Authentication Header)和封装安全净荷协议ESP(Encapsulating Security Payload)是其中的两个协议,AH和ESP协议均实现IP分组源端 阅读全文
摘要:
网络安全之访问控制 简介 同一分布式环境下,同一用户可能具有多个应用服务器的访问授权,同一应用服务器也有多个授权访问的用户,同一用户在一次事务中可能需要访问多个授权访问的应用服务器,应用服务器可能还需要对访问用户进行身份鉴别。为了实现这一情况下的访问控制过程,提出了Kerberos。 Kerbero 阅读全文
摘要:
网络安全之接入控制 身份鉴别 定义:验证主题真实身份与其所声称的身份是否符合的过程,主体可以是用户、进程、主机。同时也可实现防重放,防假冒。 分类:单向鉴别、双向鉴别、三向鉴别。 主题身份标识信息:密钥、用户名和口令、证书和私钥 Internet接入控制过程 一些基本模型 终端访问网络资 阅读全文
摘要:
pikachu靶场之SSRF漏洞 源代码有问题,所以我就口诉一下吧 SSRF(curl) 本题目应用的是curl_exec()函数,在本题中,客户端使用GET方法提交的url参数和内容,下一段就是会把用户提交请求的URL返回客户端去执行(即服务器是应用函数curl_exec()执行的),假如 阅读全文
摘要:
常见(漏洞)端口 FTP(文件传送协议):20(用于传送数据)/21(熟知端口处理客户进程发出的链接请求)tip:这两个端口都是位于服务器端 SSH(安全外壳协议):22 Telnet(远程终端协议):23 SMTP(简单邮件传输协议):25/587/465/2525 DNS(域名系统):53 DH 阅读全文
摘要:
DVWA之CSRF漏洞 CSRF知识相关可以看我下面这篇博客:CSRF详解 - 三木森林 - 博客园 (cnblogs.com) Low难度 该界面如下所示: 为了尽可能地模拟真实地CSRF漏洞利用,我们先假定这样一种情况,本界面是在用户A登录后的某合法网站,可能是社交,可能是银行网站。 阅读全文
摘要:
SSRF详解 简介 SSRF,Server-Side Request Forgery,也就是服务器端请求伪造,是一种由攻击者构造形成而由服务器端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。其目标是与服务器端相连的内部网络。 其根本原因在于服务端提供了从其 阅读全文
摘要:
session、cookie和token的区别 cookie机制 web应用程序是使用HTTP协议来传送数据的。而HTTP是无状态的协议。所以一旦HTTP报文交换完成,客户端和服务器端就会谁也不认识谁了,这意味着服务器无法从连接上跟踪会话。即当用户A购买了一件商品并放入购物车中,当再次购买该商品 阅读全文