别忘了 星标我!●常见加密技术● 目前发现的比较常见的密钥加密技术有RC4以及TEA系列加密 TEA TEA(Tiny Encryption Algorithm,小型加密算法)是一种对称...
密码学 |5.6 信息论
5.6 信息论1948年 和 1949年,克劳德·香农(Claude Shannon)发表了两篇论文《A mathematical theory of communication》、《Communic...
APK应用程序是否签名异常的检测方法
0x01 APK应用程序是否签名异常的检测方法要在Android上安装APK必须要进行数字签名,数字签名用于验证应用程序更新的所有者身份,验证的目的是为了防止APK应用程序被篡改或修改APK来包含恶意...
漏洞复现 Pd-CMS Shiro默认密钥 远程命令执行漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
干货 | 冰蝎各版本工具分析与魔改思路
0x00 V2版本1. 项目github项目:https://github.com/rebeyond/Behinder/releases/V2 源码:https://github.com/hktale...
Yellowfin解决了为RCE打开大门的身份验证绕过漏洞三重奏
流行的企业分析平台Yellowfin BI中修复了因使用硬编码密钥而导致的三个身份验证绕过漏洞。在发现预身份验证漏洞后,Assetnote的安全研究人员随后找到了一条执行命令的身份验证后路径。这些由A...
记一次对HTB:Timelapse的渗透测试
主机发现端口扫描通过nmap进行端口端侧,发现存在18个开放端口。发现存在(Kerberos + LDAP + DNS + SMB)这种端口组合。说明可能dc01.timelapse.htb是域控制器...
浅谈JWT越权原理与利用
1.什么是JWTJWT=JSON+WEB+TOKEN,它并不是一个具体的技术实现,而更像是一种标准。JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接;他们分别...
研究人员从西门子PLC中提取主加密密钥
安全研究人员近日发现了一种方法,可以成功提取被硬编码在多款西门子可编程逻辑控制器(PLC)产品系列的CPU中的全局加密密钥,从而使他们能够破坏其安全通信和身份验证。西门子建议所有客户升级受影响设备的固...
密钥管理实践
1密钥管理密钥本地化会导致密钥分散在代码、配置文件中。缺乏统一管理,造成开发、维护成本巨大,另一方面,如果业务系统被黑客攻克,密钥就会随之泄露,黑客就能直接还原业务数据了。一般情况下,我们习惯认为数据...
影子凭证 滥用密钥信任帐户映射进行帐户接管
什么是 PKINIT?在 Kerberos 身份验证中,客户端必须在 KDC为其提供票证授予票证 (TGT) 之前执行“预验证”,该票证随后可用于获取服务票证。预认证的原因是,没有它,任何人都可以获得...
【安全圈】谷歌通过客户端加密将 Gmail 安全提升到一个新的高度
关键词 Gmail 谷歌近日宣布,其针对 Gmail 的客户端加密处于测试阶段,此次升级主要面向工作区和教育客户,同时也是作为其努力保护使用该平台的网络版本发送的电子邮件的一部分。 在人们对在线隐私和...
26