two-time-pad加密演算法是針對one-time-pad金鑰和明文一樣長的缺陷做出的一種改進,但是存在嚴重的安全漏洞。windows nt和802.11b都使用two-time-pad進行加密。
為了縮小金鑰空間,將同乙個金鑰用於加密不同的明文。c1=m1 xor k
c2=m2 xor k
這樣,c1 xor c2= m1 xor m2。只需對每2個密文進行異或運算並判斷結果是否有意義即可。
pptp:point-to-point transfer protocol
一種客戶端和客戶端之間通過伺服器通訊的協議
工作流程
attacker截獲c1,c2,即可獲取伺服器和客戶端之間的交流內容。
工作流程:rc4演算法
iv(i):24 每傳送一條新訊息遞增1.這是為了防止兩條資訊使用相同的key。但是,每過2^24(差不多1600萬)條訊息,iv就會重複。而且用於加密相鄰兩條訊息的key除了iv中1位不同之外,其他全部相同,這些key們被prg之後仍然有規律可循。
||:訊息字串的連線
m=m(1)||m2||……||m(n)
注意:這種序列化的加密方法導致內容和位置一一對應不能用於磁碟儲存檔案。磁碟的資料是可以更改的,使用者對於乙個檔案某處做的修改唯一對應密文中的某個位置。如果attacker知道使用者可能修改的內容(m),結合修改的位置(c),就可能推測出金鑰。優秀的磁碟資料加密方法應當是修改了一處內容,會波及其他沒有被修改的內容。
Web安全漏洞
web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...
Redis安全漏洞
redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...
appscan 安全漏洞修復
1.會話標識未更新 登入頁面加入以下 request.getsession true invalidate 清空session cookie cookie request.getcookies 0 獲取cookie cookie.setmaxage 0 讓cookie過期 不是很明白session的...