爆破是渗透中常用的一个攻击手法,特别是拿到一个跳板机后,对域的渗透中使用较多。用于爆破的工具比较多,每种工具的实现方法也不尽相同。
02月04日224 views评论密钥
身份验证
RSA加解密
使用密钥身份验证的方式连接 SSH
你可以配置 SSH 使用基于密钥的身份验证,而不是使用用户名密码的方式验证。为了使用密钥身份验证方式,你需要生成一对密钥(公钥与私钥—)。私钥作业 “密码” 保存在用户端,公钥放到用户想连接到的远端主...
01月19日156 views评论密码
身份验证
谷歌硬件安全密钥曝严重漏洞 可发起侧信道攻击
2018年,谷歌发布了名为“Titan”的硬件产品,是基于FIDO技术规范打造的,用来保护支持该硬件的所有平台账号。Google Titan 这样的硬件安全密钥被认为是保护用户账户预防钓鱼和接管攻击的...
01月11日254 views评论攻击者
漏洞
冰蝎2和3及哥斯拉Godzilla特征分析
冰蝎2冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。冰蝎工具通信原理冰蝎的通信过程可以分为两个阶段:密钥协商加密传输1)第一阶段-密钥协商a.php攻击者通过GET方式请求...
12月21日388 views评论get
php
2021年数据加密的六大趋势
2020年是网络安全技术“变革”的一年,是应对新挑战和概念落地的一年。但是在最为关键的数据安全领域,加密技术相对稳定。到2021年,加密技术有望迎来重大变革,以下我们列出2021年值得关注的六大加密趋...
12月10日180 views评论加密
密钥
浏览器的本地数据加密机制分析
早在2月,我曾写过有关浏览器密码管理器的文章,并提到在决定如何实施功能及其安全保护时了解攻击模型非常重要。如果你将解密密钥存储在攻击者可以访问的地方,则纯属浪费时间和精力。这就是为什么物理上本地攻击和...
11月13日207 views评论加密
数据
密码基础概念(二)
无论你有没有意识到,日常生活中我们几乎每天都在跟密码学打交道。只要你接触过互联网,那么基本上都离不开密码学。 举个最简单的例子,现在的很多网站都是通过HTTPS协议进行通信的,而支撑着H...
10月26日9 views评论加密
密码学
Android安全(七)--Keytool
内容概览:keytool的几个常用的命令。1.创建证书2.查看证书库3.导出证书文件4.导入证书的信息5.查看证书信息6.删除密钥库中的条目7.修改证书条目的口令在JDK 1.4以后的版本中都包含了这...
10月10日213 views评论密钥
证书
在双因素身份认证领域混迹6年,聊聊我的见解
先简单聊点众所周知的,什么是双因素认证?借用百科的描述:双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥...
09月30日220 views评论密码
密钥
报错导致JWT密钥泄露进而伪造用户身份
首先通过爆破得到了账号(xxxxx,123456)观察cookie,发现是JWT格式使用http://jwt.calebb.net/解码由于在测试的时候发现目标站点的页面开启了Debug模...
09月29日593 views评论账号
页面
Raccoon攻击可以打破特定条件下的TLS 加密
Raccoon 攻击是TLS规范中的时序漏洞,影响HTTPS 和其他基于TLS 和 SSL 的服务。基于 TLS 的这些协议使得用户可以在浏览web网站、使用邮箱、发送即时消息时没有第三方可以读取通信...
09月23日199 views评论tls
攻击
25