Web 漏洞挖掘实战
王昊天
螣龙安科 CEO 兼创始人
14867 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 44 讲
课前必读 (2讲)
开篇词|从黑客的视角找漏洞,从安全的角度优雅coding
时长 11:09
导读|解读OWASP Top10 2021
时长 15:20
失效的访问控制 (5讲)
01|失效的访问控制:攻击者如何获取其他用户信息?
时长 14:43
02|路径穿越:你的Web应用系统成了攻击者的资源管理器?
时长 09:58
03 | 敏感数据泄露:攻击者如何获取用户账户?
时长 10:42
04|权限不合理:攻击者进来就是root权限?
时长 10:45
05|CSRF:为什么用户的操作他自己不承认?
时长 15:44
加密失败 (7讲)
06|加密失败:使用了加密算法也会被破解吗?
时长 12:55
07|弱编码:程序之间的沟通语言安全吗?
时长 16:40
08|数字证书:攻击者可以伪造证书吗?
时长 12:03
09|密码算法问题:数学知识如何提高代码可靠性?
时长 17:33
10|弱随机数生成器:攻击者如何预测随机数?
时长 16:32
11|忘记加“盐”:加密结果强度不够吗?
时长 17:57
大咖助场|数字证书,困境与未来
时长 09:51
注入 (13讲)
12|注入(上):SQL注入起手式
时长 10:52
13|注入(下):SQL注入技战法及相关安全实践
时长 15:50
14|自动化注入神器(一):sqlmap的设计思路解析
时长 10:48
15|自动化注入神器(二):sqlmap的设计架构解析
时长 08:51
16|自动化注入神器(三):sqlmap的核心实现拆解
时长 06:46
17|自动化注入神器(四):sqlmap的核心功能解析
时长 08:04
18 | 命令注入:开发的Web应用为什么成为了攻击者的bash?
时长 13:33
19 | 失效的输入检测(上):攻击者有哪些绕过方案?
时长 11:26
20 | 失效的输入检测(下):攻击者有哪些绕过方案?
时长 15:28
21|XSS(上):前端攻防的主战场
时长 11:31
22|XSS(中):跨站脚本攻击的危害性
时长 10:16
23|XSS(下):检测与防御方案解析
时长 09:26
24|资源注入:攻击方式为什么会升级?
时长 10:10
春节特别策划 (3讲)
春节策划(一)| 视频课内容精选:Web渗透测试工具教学
时长 02:54
春节策划(二) | 给你推荐4本Web安全图书
时长 05:15
春节策划(三) | 一套测试题,看看对课程内容的掌握情况
时长 00:45
不安全的设计 (3讲)
25|业务逻辑漏洞:好的开始是成功的一半
时长 08:24
26|包含敏感信息的报错:将安全开发标准应用到项目中
时长 10:02
27|用户账户安全:账户安全体系设计方案与实践
时长 13:51
安全配置错误 (3讲)
28|安全配置错误:安全问题不只是代码安全
时长 12:41
29|Session与Cookie:账户体系的安全设计原理
时长 09:40
30|HTTP Header安全标志:协议级别的安全支持
时长 11:08
其他安全风险串讲 (3讲)
31|易受攻击和过时的组件:DevSecOps与依赖项安全检查
时长 09:55
32|软件和数据完整性故障:SolarWinds事件的幕后⿊⼿
时长 09:52
33|SSRF:穿越边界防护的利刃
时长 10:45
综合实战篇 (3讲)
34|Crawler VS Fuzzing:DAST与机器学习
时长 09:54
35|自动化攻防:低代码驱动的渗透工具积累
时长 10:27
36|智能攻防:构建个性化攻防平台
时长 12:33
结束语 (2讲)
结束语|无畏前行
时长 06:08
期末测试|来赴一场满分之约吧!
时长 00:29
Web 漏洞挖掘实战
15
15
1.0x
00:00/00:00
登录|注册

09|密码算法问题:数学知识如何提高代码可靠性?

王昊天
你好我是王昊天,今天这一讲我们来一起学习密码算法问题。
温州话素以难懂著名,据传连温州附近的其他城市也很难理解。这种客观条件,为使用温州话传递秘密信息创造了土壤,因此有一种说法是,抗日战争时期中国军队使用温州话进行秘密通信。
这听起来确实还挺有可行性的,而且二战时期美军就曾使用纳瓦霍语做出类似的操作。
使用一种复杂形式的通用性语言作为“加密”方案,虽然在某种现实应用中可以奏效,但在算法选择上其实并不明智。
要知道,语言是可以翻译的。因此,如果将信息传递的安全性完全依赖于语言复杂性特质,一旦这种语言具有较大受众,对方就很可能具备该类语言的解析能力,从而使该语言失去保密效果。
在密码学中,这种使用难懂语言的加密方案可以归类到的古典密码算法,而现代社会普遍采用了现代密码学,加密信息的安全性已经不再依赖密码算法的保密性。
这一讲,我们就来一起研究密码算法的安全性。

数学层面的密码安全风险

古典密码学

古典密码学是密码学中的一个类型,主要使用替换式密码移项式密码。尽管古典密码学由于安全性不足等问题现在已经逐渐退出实际应用了,但是我们从它开始了解密码学的发展历程,可以帮助你理解更深层的密码学原理。那么接下来,我们就来看几种经典的古典密码算法。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文从古典密码学和现代密码学两个方面展开讨论密码算法的重要性和应用。古典密码学介绍了凯撒密码和移位式密码的基本原理,以及它们的安全性问题。现代密码学则介绍了对称密钥密码学和非对称密钥密码学的特点,以及公钥密码学的应用场景和底层原理。同时,强调了密码算法的安全性和可靠性,以及数学知识在提高代码可靠性方面的重要性。此外,还提到了现代密码学在一些前沿领域的实际应用场景,如交互证明、零知识、区块链与安全多方计算等。在工程实践中,密码学相关的安全风险包括硬编码密钥、随机值重用、不安全的加密算法、可预测的初始化向量和不安全的Padding。通过一系列典型的安全风险场景和实战案例,读者可以更深入地了解密码安全风险。另外,文章还介绍了数字签名伪造和HASH碰撞与生日攻击的相关内容,强调了密码学的快速发展和对密码算法强度的不断探索。文章总结了密码学的历史、现状和未来发展方向,为读者提供了全面的密码学知识概览。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《Web 漏洞挖掘实战》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
导读|解读OWASP Top10 2021
01|失效的访问控制:攻击者如何获取其他用户信息?
03 | 敏感数据泄露:攻击者如何获取用户账户?
07|弱编码:程序之间的沟通语言安全吗?
21|XSS(上):前端攻防的主战场
28|安全配置错误:安全问题不只是代码安全
登录 后留言

全部留言(2)

  • 最新
  • 精选
  • 孜孜
    sha256,虽然有256位长,但是它的安全强度有128位,也就是2^128的量级攻击。。nist貌似有表,来直接表示安全强度。但是随着碰撞算法不断完善,这些算法的,安全强度可能会下降。。猫追老鼠的游戏。。。。

    作者回复: wow 我找到了 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf 同学厉害哇,一看就是深入研究过,hhh,安全强度128位这件事要研究一下SHA-256的算法,我之前都没深入,超棒的(๑•̀ㅂ•́)و✧

    2022-01-07
    2
    3
  • ifelse
    学习了
    2023-03-09归属地:浙江
收起评论
显示
设置
留言
2
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部