hmac | CN-SEC 中文网

安全文章

破解 JWT：漏洞赏金猎人指南（第七部分）——最终的 P1 Boss

官网：http://securitytech.cc/利用算法混淆漏洞绕过 JWT 身份验证，无需密钥泄露攻破系统并不需要私钥——只要逻辑上有个漏洞就行。真正的黑客不会猜测……他们🧨 序言 — — 大结...

06月30日24 views评论

阅读全文

安全工具

chatlog轻松使用你的微信聊天记录

概述 •存储方式：微信聊天记录保存在本地加密的SQLCipher数据库文件中，基于腾讯的WCDB项目。 SQLCipher 以 10-15% 的性能开销，100% 加密 SQLite 文件，并提供与...

06月24日23 views评论

阅读全文

物联网扩展要求的数据重放如何测评

等保2.0扩展标准中，很多条款写的让人云里雾里，各种培训和教材、书籍都没有讲清楚，都是照本宣科，这样的条款很容易让测评人员产生歧义，在和客户沟通时候，也无法说明和举例如何才能满足等保要求。本文将从物联...

06月19日制度法规10 views评论

阅读全文

安全开发

【fscan插件】| 用gokrb5构建fscan插件（一）

使用明文密码进行简单的登录这是之前讲fscan用到的代码，这个代码已经可以给fscan添加功能了。 // SetConfig 配置 Kerberos 客户端func SetConfig() *con...

03月27日21 views评论

阅读全文

制度法规

【商密测评】采用 SM3 密码算法为应用和数据层的数据传输提供完整性保护和消息鉴别功能

采用 SM3 密码算法为应用和数据层的数据传输提供完整性保护和消息鉴别功能某政务信息系统使用服务器密码机，并采用 SM3 密码算法为应用和数据层的数据传输提供完整性保护和消息鉴别功能。该服务器密码机具...

02月19日64 views评论

阅读全文

安全文章

密钥派生最佳实践

密钥派生在许多加密应用中至关重要，包括密钥交换、密钥管理、安全通信和构建健壮的加密基元。但也很容易出错：尽管存在针对不同密钥派生需求的标准工具，但我们的审计经常会发现这些工具的不当使用可能会危及密钥安...

02月07日18 views评论

阅读全文

安全文章

JWT原理及利用

JWT的结构包括三部分头部（Header），负载（Payload）和签名（Signature）。它们之间使用点号“.”进行连接，构成了一个完整的JWT。1. 头部（Header）：通常包含两部分信...

01月22日32 views评论

阅读全文

安全文章

记一次渗透测试过程中碰到的Symfony框架的利用

记在一次渗透测试过程中碰到的Symfony框架debug模式下的利用，以及和常规利用不一样的地方。文章作者：奇安信攻防社区（sky0）文章来源：https://forum.butian.net/sha...

01月16日11 views评论

阅读全文

安全文章

JSON Web令牌(JWT)及访问控制绕过

JSON Web令牌是一种广泛用于商业应用程序的访问令牌。它们基于JSON格式，并包含一个令牌签名以确保令牌的完整性。本文主要讨论使用JSON Web令牌（以及一般基于签名的令牌）的安全隐患，以及攻击...

01月11日49 views评论

阅读全文

安全百科

【密码算法】AEAD 接口和 GCM 算法

AEAD 接口和 GCM 算法AEAD 接口用于同时加密和消息完整性认证。GCM 是实现这个接口的一个具体实现模式。1. 简介TLS协议中使用的模式最开始有ECB、CBC等，为了对消息完整性进行确认，...

12月24日63 views评论

阅读全文

安全闲碎

【商密测评】快速定位SSH数据包的密码套件

一、不显示密码套件的SSH数据包二、怎么快速确定密码套件的组成最终的密码套件组成为：AES_256_CTR Hmac-Sha1原文始发于微信公众号（利刃信安）：【商密测评】快速定位SSH数据包的密码套...

11月23日38 views评论

阅读全文

安全百科

OTP基本原理

OTP基本原理本篇文章呢，我们一起来看一下有关于OTP用到的一些密码学知识，那么什么是OTP这个名词可能读者有可能不了解，但是相信大家可能都见过或者用过多因子认证这个东西吧。Google Authen...

11月11日68 views评论

阅读全文

在线咨询

微信