Security

Network Security Essentials — Notes4. Public-key Cryptography

Leave a Comment / Security / July 29, 2010

1. Public-key Cryptography    The schem uses two keys, if one is for encryption, then the other is for decryption.    "Truly revolutionary advance in cryptography"    "Profound concequences in the areas of Confidentiality, key distrituion and Message Authentication" 2.Six Integriends   a.Plaintext   b.Encryption Algorithm (Not Secret)   c.Public Key (Not Secret)   d.Private …

Network Security Essentials — Notes4. Public-key Cryptography Read More »

Network Security Essentials — Notes1. Introduction

Leave a Comment / Security / July 27, 2010

‘Network Security Essentials: Applications and Standards’, by Dr. William Stallings There is a systematic way of defining security requirements — X.800 Security Architecture for OSI 1. The architecture defines,   a. Attack   b. Service  — detecting and preventing Attacks   c. Mechanism — implements Service 2. Attack    a.Passive Attack       i. Release of …

Network Security Essentials — Notes1. Introduction Read More »

Network Security Essentials — Notes2. Symmetric Ciphers

Leave a Comment / Security / July 27, 2010

1. Overview   Symmetric Ciphers use the same key for both decryption and encryption.   Other terms for symmetric-key encryption are secret-key, single-key, shared-key,  one-key, and private-key encryption. 2. 5 Indredients   a.Plaintext   b.Encryption Algorithm   c.Secret Key   e.Ciphertest   f.Decryption Algorithm Algorithms are not kept secret, but keys are 3.Two kinds of …

Network Security Essentials — Notes2. Symmetric Ciphers Read More »

关于网络安全, William Stallings 有两本书

Leave a Comment / Security / July 19, 2010

一本是久负盛名的 ‘Cryptography and Network Security’ 另一本是 ‘Network Security Essentials: Applications and Standards’ 据作者的说法,第二本是从第一本中 "Adapt" 而来。 两本书的区别在于第一本有大量的篇幅放在密码学的数学原理上,而第二本则没有。 我们是程序员,不是算法专业研究生,所以第二本更适合我们。

Tamper Data 确实很不错

Leave a Comment / Security / July 9, 2010

在攻击的时候,如果你要提交一个表单,它可以先弹出一个对话框,然后让你增删改所有POST的参数,然后再发送POST请求 它还提供了一些常用的攻击字符串,比如 SQL注入、XSS攻击等

Skipfish是免费的网页扫描工具中最好的

Leave a Comment / Security / July 9, 2010

毕竟是Google出的,果然不差,比Nikto要强大的多,推荐使用! FYI,这里可以下载到编译好、可在Windows上直接运行的版本:   http://www.shortinfosec.net/2010/03/compiling-latest-skipfish-for-windows.html 使用方法: skipfish -h

黑客攻防技术宝典 — Notes 10 攻击Web服务器

Leave a Comment / Security / July 7, 2010

1.服务器配置中的漏洞   a.默认的用户名/密码还留着,比如Tomcat里的 root/root   b.默认的内容,比如Tomcat中的/admin, /example   c.目录List功能没有关闭,可能导致敏感信息泄漏   d.没有禁止PUT/DELETE等危险的HTTP方法 (攻击办法:使用OPTIONS请求头查探服务器所支持的方法) 2.服务器软件的漏洞: 论坛上已报知的软件漏洞,并且管理员一直没打补丁

黑客攻防技术宝典 — Notes 9.5 针对客户端的攻击 — 会话固定攻击

Leave a Comment / Security / July 6, 2010

攻:   1.攻击者匿名访问某个站点,多点几下   2.站点此时已经生成会话,其会话ID被串在URL后面 http://hello.com/hi.jsp?sessionid=xxx (或者放在Cookie里)   3.攻击者把这个URL发给被害人 (或者通过XSS漏洞把Cookie注入到被害者的浏览器里)   4.用户用这个URL登录   5.攻击者在自己家里继续用 http://hello.com/hi.jsp?sessionid=xxx 浏览网站,这时侯他已经以被害人的身份在系统中游荡了 防:   用户登录成功后,系统应生成新会话

黑客攻防技术宝典 — Notes 9.6 针对客户端的攻击 — 共用电脑造成的漏洞

Leave a Comment / Security / July 6, 2010

常见漏洞有:    1.持久性的Cookie    2.缓存的WEB页中含有敏感信息    3.缓存的历史访问中含敏感信息    4.自动完成 防止攻击:    1.敏感数据不要放在Cookie中    2.敏感页面应禁止缓存    3.URL中不要含敏感信息     4.敏感信息的输入框应禁止自动完成 (autocomplete=off)