- 浏览: 63931 次
文章分类
最新评论
-
小灯笼:
ZooKeeper分布式专题与Dubbo微服务入门网盘地址:h ...
dubbo+zookeeper构建高可用分布式集群 -
qingfengxiu1985:
有没有全部工程代码?发一个呗,邮箱:qingfengxiu19 ...
mongodb+spring +morphia完整版框架搭建
1.Java API支持
位于java.security包及子包中
2.Jsp容器支持
常见的应用容器通过简单的配置支持SSL/TLS,获取证书配置,有效的构建https应用。
3.Java工具支持
通过KeyTool可以很好的完成密钥管理、证书管理等;通过JarSigner可以完成代码签名。
4.第三方jar包支持
commons-codec、bouncycastle
密码在线破解
1)http://www.cmd5.com/
2)http://www.xmd5.com/
3)http://www.somd5.com/
4)https://crackstation.net/
十款最流行的破解工具
Brutus、RainbowCrack、Wfuzz、Cain and Abel、John the Ripper、THC Hydra、Medusa、OphCrack、L0phtCrack、Aircrack-NG
密码管理利器
Linux -- KeePassX Windows -- KeePass android – KeePassDroid
加密软件
truecrypt
保护密码措施
正确的加盐保存密码姿势
盐值应该使用基于加密的伪随机数生成器生成。( java.security.SecureRandom )
避免使用短的盐和盐的复用。(用户每次创建或者修改密码一定要使用一个新的随机的盐。)
要在服务端进行hash。
使用经过充分测试的加密hash函数,比如SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3等;设计良好的key扩展hash算法,比如PBKDF2,bcrypt,scrypt;尽量不要使用过时的hash函数,比如MD5,SHA1。
密码找回功能常见利用点
密码找回凭证太弱,容易被爆破
密码找回凭证可以从客户端、URL中直接获取
密码找回凭证可以在网页源代码中直接获取
密码找回的邮箱链接易猜解,如时间的md5
密码找回凭证存并非只是与单个用户并绑定的问题。
密码找回的手机或邮箱从页面获取,可以通过firebug修改
最后提交新密码时修改用户ID为其他ID
跳过验证步骤、找回方式,直接到设置新密码页面
找回密码时没有在服务器上验证用户名与邮箱是否匹配便发送了验证码
重置密码时返回的token没有与账号以及验证码绑定
服务器只验证了对应的验证信息是否存在,没有验证是否与账号匹配
在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回信息是可控的内容,或者可以得到的内容
发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制
提交新密码时的,只验证了部分可控的信息是否匹配
在找回密码处存在注入漏洞
说明:找回密码凭证够复杂并且不可猜测,任何动作放在服务器端进行,传输的验证参数做好加密,同时对参数做好过滤
完整密码学练习代码:GitHub:https://github.com/java-datas/encryptDemo
位于java.security包及子包中
2.Jsp容器支持
常见的应用容器通过简单的配置支持SSL/TLS,获取证书配置,有效的构建https应用。
3.Java工具支持
通过KeyTool可以很好的完成密钥管理、证书管理等;通过JarSigner可以完成代码签名。
4.第三方jar包支持
commons-codec、bouncycastle
密码在线破解
1)http://www.cmd5.com/
2)http://www.xmd5.com/
3)http://www.somd5.com/
4)https://crackstation.net/
十款最流行的破解工具
Brutus、RainbowCrack、Wfuzz、Cain and Abel、John the Ripper、THC Hydra、Medusa、OphCrack、L0phtCrack、Aircrack-NG
密码管理利器
Linux -- KeePassX Windows -- KeePass android – KeePassDroid
加密软件
truecrypt
保护密码措施
- 不要使用弱口令,千万不要用明文保存密码
- 加盐来保护密码强度
- 归避密码找回功能的缺陷
- 登录认证使用https协议
- 认证凭证不可猜测性
- 不要直接把认证凭证添加到URL来完成认证,使用cookie和post
- 保证接口干净,app和web接口不能混用
- 同IP不同port,尽量不要部署多个不同的web服务,因为cookie不 区分端口
- 自动登录,绑定,退出等敏感功能,需做csrf防护,referrer+token
正确的加盐保存密码姿势
盐值应该使用基于加密的伪随机数生成器生成。( java.security.SecureRandom )
避免使用短的盐和盐的复用。(用户每次创建或者修改密码一定要使用一个新的随机的盐。)
要在服务端进行hash。
使用经过充分测试的加密hash函数,比如SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3等;设计良好的key扩展hash算法,比如PBKDF2,bcrypt,scrypt;尽量不要使用过时的hash函数,比如MD5,SHA1。
import org.junit.Test; import java.security.Provider; import java.security.SecureRandom; import java.security.Security; import java.util.Map; public class BasicSecretTest { /** * 生成随机数盐 */ @Test public void SecureRandomTest(){ SecureRandom secureRandom = new SecureRandom(); System.err.println(secureRandom.nextLong()); } /** * 打印当前系统所配置的全部安全提供者 */ @Test public void testProvider(){ for(Provider provider: Security.getProviders()){ //打印提供者信息 System.err.println(provider); //遍历提供者set实例 for(Map.Entry<Object,Object> entry: provider.entrySet()){ System.err.println("\t"+entry.getKey()); } } } }
密码找回功能常见利用点
密码找回凭证太弱,容易被爆破
密码找回凭证可以从客户端、URL中直接获取
密码找回凭证可以在网页源代码中直接获取
密码找回的邮箱链接易猜解,如时间的md5
密码找回凭证存并非只是与单个用户并绑定的问题。
密码找回的手机或邮箱从页面获取,可以通过firebug修改
最后提交新密码时修改用户ID为其他ID
跳过验证步骤、找回方式,直接到设置新密码页面
找回密码时没有在服务器上验证用户名与邮箱是否匹配便发送了验证码
重置密码时返回的token没有与账号以及验证码绑定
服务器只验证了对应的验证信息是否存在,没有验证是否与账号匹配
在本地验证服务器的返回信息,确定是否执行重置密码,但是其返回信息是可控的内容,或者可以得到的内容
发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制
提交新密码时的,只验证了部分可控的信息是否匹配
在找回密码处存在注入漏洞
说明:找回密码凭证够复杂并且不可猜测,任何动作放在服务器端进行,传输的验证参数做好加密,同时对参数做好过滤
完整密码学练习代码:GitHub:https://github.com/java-datas/encryptDemo
发表评论
-
Java 设计模式源码
2020-08-17 20:17 141经过一段时间学习和实践,整理了绝大多数设计模式源码demo 。 ... -
mac ngrok 使用
2018-12-20 18:22 817ngrok 是一个反向代理,通过在公共端点和本 ... -
Java元组学习
2018-12-19 15:38 558在Java 中我们平时用的接口和方法 只是单一 ... -
base64 和 base32 源码解析
2018-11-30 14:19 1411package com.zd.demo; import ... -
maven 常用命令
2018-01-22 14:43 330mvn compile 编译源代码 mvn test-comp ... -
包裹分箱 算法
2017-08-24 16:30 1106包裹 分箱简单算法 算出临界值 分箱数量加1 / ... -
上传excel 通过url下载文件
2017-07-06 16:22 1007/** * 下载图片 */ ... -
多线程实现原理并发机制
2017-03-07 20:29 754进程: 查询百度大致可以理解为一段具有独 ... -
网络编程TCP/IP协议组
2017-03-04 13:42 466TCP/IP是个协议组: 主要可以分为4层,分别是应 ... -
Guava包的ListenableFuture解析
2016-10-09 13:40 984package com.downjoy.test.guava. ... -
spring+guava事件异步分发处理
2016-10-09 09:56 4273Guava是Google开源的一个Java基础类库,它在Goo ... -
httpUtil工具和apche httpclient 工具类使用
2016-09-26 15:38 2331httpUtil请求网络请求工具: package demo ... -
mongodb+spring +morphia完整版框架搭建
2016-09-09 10:22 5659Morphia是一个开放源代 ... -
mongodb注解详解
2016-09-06 09:26 39891、@Entity 如果你想通过Morphia把你的对 ... -
自定义MD5加盐加密方式代码实现
2016-09-02 16:45 5015按照自己的理解对密码加盐加密。当用户注册时候会先生成盐值 ... -
密码学
2016-08-25 11:14 5261 密码学简介 2.1 ... -
kafka
2016-08-11 14:08 658Kafka is a distributed,partiti ... -
dubbo+zookeeper构建高可用分布式集群
2016-08-24 09:47 4900(1) 当服务越来越多时, ... -
java生产6为邀请码
2016-08-09 17:23 1889package demo.dcn.vo; import ... -
jxl
2016-08-09 14:30 451Java生成和操作Excel文件 package dem ...
相关推荐
计算机安全和密码学.Computer.Security.And.Cryptography.pdf 英文版 《深入浅出密码学——常用加密技术原理与应用》-有书签.pdf 程序员密码学.pdf 计算机加密解密200例-带书签.pdf 计算密码学+卢开澄-走向数学...
计算机安全和密码学.Computer.Security.And.Cryptography.pdf 英文版 《深入浅出密码学——常用加密技术原理与应用》-有书签.pdf 程序员密码学.pdf 计算机加密解密200例-带书签.pdf 计算密码学+卢开澄-走向数学...
本书全面深入地介绍了现代密码学的基础理论。全书共分15章和1个附录。内容包括密码学研究的基本问题、古典密码学、密码学的信息论基础和计算复杂性理论基础、单向函数和伪随机序列生成器的严格理论、序列密码、分组...
计算机安全和密码学.Computer.Security.And.Cryptography.pdf 英文版 《深入浅出密码学——常用加密技术原理与应用》-有书签.pdf 程序员密码学.pdf 计算机加密解密200例-带书签.pdf 计算密码学+卢开澄-走向数学...
配套 密码编码学与网络安全第六版 注意是在线部分 不包括原书
由于所有文章是从密码学的角度来解释的, 所以一些名词会和当今常用的名词的意思不太一样, 请注意这一点. 如 : 1.明码--通过密匙-->得到密码. 这里的密码也就是密文的意思. 2.字母表:明密文中的单个字母单元所属...
1.安全机制指用来检测、阻止攻击或者从攻击状态里恢复的过程(或包含这种过程的设备),最重要的安全机制之一就是密码编码机制2.欲达理论安全,加密密钥长度必须大于等于明文长度,密钥只用一次,用完即丢,即一次一...
第1章 安全的基本概念 1.1 简 介 本书介绍网络与Internet安全,因此,在介绍与安全相关的各种概念与技术问题(即 了解如何保护)之前,先要了解保护什么。在使用计算机、计算机网络和其中最大的网 络Internet时,会...
本文是无线网络密码破解傻瓜图文只做技术交流之用,提醒各位注意无线网络安全性,请勿用于其他用途,否则后果自负。 前言:面对电脑搜索到的无线网络信号,你是否怦然心动?但看到一个个“启用安全的无线网络”你...
锈密码学 请勿将其用于任何严重的应用程序 用Rust编写的(非常不安全)密码库。 用于学习目的,因为我们很无聊。 我们已经拥有的 到目前为止,什么都没有,这只是设置。 但是我们将在更新代码时更新自述文件。 未来...
本无线网络密码破解傻瓜图文教程只做技术交流之用,提醒各位注意无线网络安全性,请勿用于其他用途,否则后果自负。 前言:面对电脑搜索到的无线网络信号,你是否怦然心动?但看到一个个启用安全的无线网络你是否又...
本文是无线网络密码破解傻瓜图文只做技术交流之用,提醒各位注意无线网络安全性,请勿用于其他用途,否则后果自负。 前言:面对电脑搜索到的无线网络信号,你是否怦然心动?但看到一个个“启用安全的无线网络”你...
基于Python的字典穷举法WiFi密码安全性测试源码+使用教程+超详细注释.zip 功能 - 字典爆破测试连接WiFi(字典生成可以自行修改,自由发挥) - 找回忘记的密码(演示中只能找回简单密码,如8位数的数字密码,需要...
2、掌握屩简单的网络安全防范措施。 3、熟悉网络规则,养成良好的上网习惯。 教学重、难点: 1、几种简单的网络安全防范措施; 2、常见的网络安全隐患。 教学时间:二课时 教学过程: 一、导入新课: 因特网还不是...
太狠了吧,SSH密码暴力破解及防御实战,注意安全了,下载学习
以下有关椭圆曲线密码学的两个练习构成了2020年秋季学期在苏黎世联邦理工学院提供的信息安全实验室课程的第一级作业。在第一部分中,我们着重于实施ECDSA。 特别是,我们实现了一些功能,例如在椭圆曲线上添加点和...
网上上网的安全 账号密码安全 精品课件网络安全防止网络诈骗安全上网网络安全宣传周PPT课件全文共39页,当前为第8页。 设置浏览器的安全等级。 我们常用的浏览器都具有安全等级设置功能,通过合理地设置可以有效...
本文是无线网络密码破解傻瓜图文只做技术交流之用,提醒各位注意无线网络安全性,请勿用于其他用途,否则后果自负。 前言:面对电脑搜索到的无线网络信号,你是否怦然心动?但看到一个个“启用安全的无线网络”你...
本文是无线网络密码破解傻瓜图文只做技术交流之用,提醒各位注意无线网络安全性,请勿用于其他用途,否则后果自负。 前言:面对电脑搜索到的无线网络信号,你是否怦然心动?但看到一个个“启用安全的无线网络”你...
本文是无线网络密码破解傻瓜图文只做技术交流之用,提醒各位注意无线网络安全性,请勿用于其他用途,否则后果自负。 前言:面对电脑搜索到的无线网络信号,你是否怦然心动?但看到一个个“启用安全的无线网络”你...