记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

由古论今,三千年加密算法发展史

导语本文尝试由古及今,论述加密算法的发展演变,以及在整个过程中先后出现的集中关键加密算法。由于个人水平有限,如果出现谬误,还望不吝赐教。加密算法那些事儿加密算法乍一听貌似和大部分人的日常生活十分遥远,但实际却密切相关。从网络层到主机文件层,无论那层加密应用或协议背后都是由各种加密算法所支撑。即便你不用任何加密产品,凡是使用https的网站都已经使用了加密协议TLS/SSL。你也被动享受了加密算法带来的隐私保护,及通讯安全。今天我们抛开浅层的应用来扒一扒各种有趣的加密算法。在扒加密算法前先稍微科普一下,加密算法主要作用是把明文变成密文。加密算法加密后,明文会变成密文,防止信息泄露。虽然看起来和乱码很像,但密文不是乱码。大部分乱码是由于编码不一致导致。编码不属于加密算法,编码无法把明文变成密文,只是改变了一种显示格
发布时间:2017-09-18 06:30 | 阅读:89318 | 评论:0 | 标签:术有专攻 加密算法 数据库 演变 加密

预警即预防:6大常见数据库安全漏洞

总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据。然后,更多不那么聪明的黑客不断重复老旧套路——因为同样老旧的漏洞一直在全球各个企业里涌现。无论如何,数据泄露总是破坏性的;但更糟的是,要怎么向受影响的用户、投资人和证监会交代呢?一家公司上千万用户的个人数据,总不会自己长脚跑到黑市上躺着被卖吧?于是,在各种监管机构找上门来问一些很难堪的问题之前,我们还是来看看这几个最常见的数据库安全漏洞吧。数据库安全重要性上升只要存储了任何人士的任意个人数据,无论是用户还是公司员工,数据库安全都是重中之重。然而,随着黑市对数据需求的上升,成功数据泄露利润的上涨,数据库安全解决方案也就变得比以往更为重要了。尤其是考虑到2016年堪称创纪录的数据泄露年的情况下。身份盗窃资源中心的数据显示,美国2016年的数据泄露事件比上一
发布时间:2017-06-12 16:45 | 阅读:90709 | 评论:0 | 标签:术有专攻 安全漏洞 数据库 漏洞

国外网络犯罪分子购买“裤子”的9大途径

 这个世界上,有阴就会有阳,有白天就会有黑夜,有地表就会有地下。一定存在一些你不知道的地方!仅仅通过一个标准的Web浏览器,网络罪犯就可以在公共网络中寻找到个人或私密信息。公共网络不是仅提供合法的服务,从家谱网站(genealogy sites)到公共记录以及社交媒体中都可以挖掘出信息,用于恶意目的。公开的恶意网络犯罪活动同样发生在公共网络上。除了公共网络外,许多的地下网络黑市都是极为隐秘的,不会出现在正常的搜索引擎中,而且普通的用户如果没有特别授权的话也无法进行访问。然而,根据身份保护和欺诈检测提供商CSID公司的安全团队所言,网络犯罪资源分为不同等级,并不是所有的都如此隐秘,保护得当。较为容易访问的论坛数量和质量还是非常可观的,任何人都能够进行访问,这些资源包括盗取的信用卡数据、网络攻击工具甚至一
发布时间:2016-12-11 18:05 | 阅读:129192 | 评论:0 | 标签:数据安全 资讯 数据库 暗网 黑市

专利技术解读:数据库透明加密和密文索引

前言 由中安威士(原中安比特)首席科学家,北京理工大学戴林博士发明的专利《一种支持密文索引的数据库透明加密方法》,是国内最早的可实用的数据库加密,甚至是数据库安全加固方面的专利,也是该领域十分重要的入门和基础专利。该专利于2009年申请,2010年获授权,授权号:CN101504668B。本文对其进行解读,争取达到简单易懂的效果。 发明动机 数据库系统作为信息的聚集体,存储着系统中最有价值信息的数据,是计算机信息系统的最核心部件,其安全性至关重要。越来越多的信息部门和安全部门希望对库内的敏感数据进行加密以增加其安全性。但是,目前国内使用的数据库绝大多数为ORACLE等国外产品,并不具备加密功能,或者其加密/密钥管理方法得不到国内相关安全评测机构的认可。因此,针对现有的ORACLE等数据库系统,亟需一种第三方的数
发布时间:2016-11-29 16:00 | 阅读:132906 | 评论:0 | 标签:技术产品 中安威士 安全加固 密文索引 数据库 加密

白帽黑客发现上帝模式共享服务器数据库漏洞

MySQL、MariaDB和Percona的服务器及XtraDB集群发现危险新漏洞,只要联动使用,共享环境中的攻击者可获取服务器完整控制权。 数据库服务器恐怕是世界上最流行的物件了,所有主流科技巨头都是它们的客户,包括谷歌、Facebook、推特、eBay、思科、亚马逊、Netflix等等等等。 Legalhackers的白帽黑客达吾德·古伦斯基称,他发现并秘密报告给厂商以修复的竞态条件漏洞(CVE-2016-6663)存在于MySQL、MariaDB和Percona中,可被联动使用以完全掌控服务器。 拥有本地数据库检索、插入或创建权限的用户,可利用此漏洞执行任意代码并将自身账户权限提升到系统用户。系统用户权限下,服务器上所有数据库尽在掌握,并可结合其他两个已有补丁的漏洞来获取rootshell。 这在用户被
发布时间:2016-11-08 17:40 | 阅读:78573 | 评论:0 | 标签:威胁情报 安全漏洞 数据库 漏洞

安全课堂:学web渗透必会SQLMAP实战篇

SQLMAP是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。从SQLMAP自动注入开始讲解,检测动态页面中得get/post参数、cookie、http头等,采用五种独特的SQL注入技术,分别是:1. 基于布尔的盲注,根据返回页面判断条件真假的注入;2. 基于时间的盲注,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;3. 基于报错注入,页面会返回错误信息,把注入的语句的结果直接返回在页面中;4. 联合查询注入,可以使用union的
发布时间:2016-07-14 02:00 | 阅读:106171 | 评论:0 | 标签:活动集中营 google SQLMAP 数据库

MySql InnoDb还原工具

通过任意文件下载找到了mysql的备份,表类型是独享式innodb,由一个frm文件和一个ibd文件组成。 本以为直接复制到本地的mysql数据目录中即可恢复数据,但在查询时却发现并不如所愿:mysql> select * from admin; ERROR 1146 (42S02): Table 'test.admin' doesn't exist mysql> show tables; +----------------+ | Tables_in_test | +----------------+ | admin | +----------------+ 1 row in set (0.00 sec)查找资料得知,innodb的表信息存放于datadir下面的i
发布时间:2016-02-22 20:15 | 阅读:118227 | 评论:0 | 标签:数据库 mysql

纵论数据库安全审计产品的三代演进

关键词:数据库安全、数据库审计、产品演进。摘要:随着用户对核心数据的防护需求,数据库审计产品已经成为信息安全建设的标配,当市场需求增大各种产品迅速进入市场,用户在选择上无所适从。笔者纵观市场,将市面上几十种数据库审计产品分为四种并追本溯源,根据数据库安全审计产品的演进过程划分为三代,更好地对数据库安全审计技术进行理解和价值阐述。正文:当前,数据库审计产品无疑已成为政企事业单位在信息安全方面的新宠,信息安全建设的标配,几乎所有的安全集成中都有它的身影。在市面上存在着几十种数据库安全审计产品,这些产品集中起来大约可分四种类型:1、在网络审计产品的基础上经过简单包装推出数据库审计产品;2、针对数据库通讯协议的特点开发出专门的数据库审计产品;3、国外的数据库审计产品,比如Imperva、Guardium等;4、OEM第
发布时间:2016-01-04 04:50 | 阅读:72152 | 评论:0 | 标签:技术产品 牛观点 安全审计 数据库

2015年数据库漏洞威胁报告

互联网就像空气,彻底的融入我们的生活之中。因此我们愈发习惯把越来越多的数据保存在网上以换取更便捷的服务。不过,随之而来的安全事件无不让人触目惊心。回忆2015年整年发生的数据泄露事件,2015年一月机锋论坛包括用户名、邮箱、加密密码的2300万用户信息泄漏。随后国内10多家酒店大量客户开房信息泄漏、中国广东人寿10W保单泄漏、大麦网600万用户信息和网易邮箱过亿用户信息泄漏……一连串的信息泄漏事件无不令人提心吊胆。覆巢之下安有完卵,全球第二大比特币交易网站Bitstamp遭到黑客入侵,新型银行木马Emotet盗取德国国民网银证书,就连一直以安全著称的瑞士银行在互联网的世界也难逃被黑客入侵的噩梦。数据库漏洞研究起源大数据时代的来临,各个行业数据量成 BT 级增长。 数据库被广泛使用在各种新的
发布时间:2015-12-29 22:05 | 阅读:91485 | 评论:0 | 标签:漏洞 系统安全 威胁 报告 数据库

安华金和:数据库防火墙技术市场调研报告

自2015年8月至9月,数据库安全专业提供商安华金和与第三方社区合作,共同面向广大IT从业人员进行数据库防火墙市场认知度调研,期望真实获取来自用户的反馈,把握客户需求和体验,从而进行数据库防火墙产品的研发与改进。通过对400个有效样本进行分析,总结归纳《数据库防火墙技术市场调研报告》分享大家。本次调研群体分布于全国各地,有意思的是,对于安全漏洞高发地区排名前三位的北京、上海、广东,本次调查反馈用户数量排名前三位的也对应到这三个地区。而在行业分布上,比较广泛。参与调研用户的角色,主要是网管/运维/系统管理员,软件工程师/程序员,DBA/数据库管理与开发人员。根据调查结果显示,400个有效样本反馈用户对数据库防火墙一经有一定认知,同时认为数据库防火墙应该是应用防火墙的有效补充,对数据库防火墙的作用还是给予肯定的。以
发布时间:2015-10-28 13:00 | 阅读:107556 | 评论:0 | 标签:牛观点 安华金和 数据库 防火墙

解密:攻击者是如何一步步拿下你的WhatsApp数据库

针对已root过的安卓移动设备,本文主要讲解远程攻击并解密WhatsApp数据库的详细过程。另外,这再一次提醒我们,对移动设备进行root(安卓)或越狱(iOS),将使用户暴露在黑客攻击之下。几小时前,网络上发布了一个有趣的文章《如何远程破解并解密WhatsApp数据库[ROOT]》,文中解释了如何从一个root过的安卓系统中提取并解密WhatsApp数据库。尽管通常情况下WhatsApp非常安全,但对安卓设备的root处理将可能使用户暴露在攻击风险之中。接下来,就让我们一步一步看看作者(使用匿名F.E.A.R.)所提出的攻击场景。步骤1:利用并获取安卓设备的访问权限正如这篇指南中所解释的,如果安卓设备通过使用Meterpeter命令进行了root,那么这一阶段将变得很简单。为了攻击并解密
发布时间:2015-10-08 09:00 | 阅读:132639 | 评论:0 | 标签:终端安全 root whatsapp 数据库 解密

Uber服务器被黑后续:用户资料遭贩卖

日前Uber服务器遭到攻击导致服务暂停的事件有了最新消息,昨日晚间有消息人士爆料称在淘宝平台已有卖家开始公然出售用户信息,包括用户姓名、手机号码、信用卡的信息每条售价1元。在这家名为“小蛋卷家”的淘宝店铺中,出售的是uber北京、上海、广州、深圳、杭州、成都、天津等地的用户信息,截至目前,该卖家已经进行了3笔交易,三位人士匿名购买了21份,随后该商品被下架。 这并非uber的用户信息第一次被泄露,去年9月,uber的一个数据库被黑,导致5万名司机的详细个人信息被泄露。今年3月,有两家卖主在暗网市场上销售Uber有效账号,一旦购买了账号,购买者便可以使用有备录的任何支付信息来下订单。这些账号含有原用户的旅行史、电子邮箱、电话号码以及家庭住址和工作地点的相关信息。 今年4月底,Uber国内少数城市出现短时间的技
发布时间:2015-05-07 19:30 | 阅读:85822 | 评论:0 | 标签:业界 Uber 数据库 泄漏

Safari私密模式访问漏洞仍存 可泄露访问记录

据报道,一个公布多日的Safari浏览器私密模式漏洞仍存在最新开发版的OS X Yosemite系统之中,这个漏洞能够通过存储在本地硬盘上的文件,查看到用户在私密模式下的访问记录和访问地址。这一漏洞是由于Safari浏览器网页小图标(Favicon)缓存机制的缺陷,这种出现在页面左侧的小图标会记录用户在隐私模式下访问的网址,存储在用户主文件夹的一个SQLite数据库文件中。 这一漏洞已经公布多年,最早于2013年的一篇发表在EURASIP期刊上的信息安全文章被曝光该机制的隐私漏洞。而在本周早些时候苹果向开发者发布的预览版OS X Yosemite 10.10.3 build 14D98g中,AppleInsider发现该漏洞仍然存在并没有被修复。这使得对于知晓这一漏洞的黑客攻击者来说,私密浏览模式形同虚设。在
发布时间:2015-03-16 09:50 | 阅读:91872 | 评论:0 | 标签:业界 Safari SQLite 数据库 漏洞

浅谈数据库索引原理

1.什么是索引?很多搭社工库的人都在谈论索引,索引关系到了数据查询的速度,那么什么是索引呢?索引其实类似于书的目录,主要用于提高查询效率,也就是按条件查询的时候,先查询索引,再通过索引找到相关的数据,索引相当于记录了对某个关键词,指定到不同的文件,或者文件里的不同位置,当然索引自身也是通过文件来保存的。2.索引的类型有两种基本的索引结构,也就是索引文件的保存方式,一个是顺序索引,就是根据值的顺序排序的(这个文件里面的值,也就是为其建索引的字段值,是顺序的放在索引文件里面),另外一个是散列索引,就是将值平均分配到若干散列桶中,通过散列函数定位的。2.1.顺序索引顺序索引下面又有很多概念。如果被索引的字段本身按照一定的顺序排序,那么这种索引叫做聚集索引。否则叫做非聚集索引。如果被索引的字段的每个值都有一个索引与其对
发布时间:2014-01-24 23:15 | 阅读:82053 | 评论:0 | 标签:数据库 mysql

Linux上MySQL优化三板斧

现在MySQL运行的大部分环境都是在Linux上的,如何在Linux操作系统上根据MySQL进行优化,我们这里给出一些通用简单的策略。这些方法都有助于改进MySQL的性能。闲话少说,进入正题。一、CPU首先从CPU说起。你仔细检查的话,有些服务器上会有的一个有趣的现象:你cat /proc/cpuinfo时,会发现CPU的频率竟然跟它标称的频率不一样:#cat /proc/cpuinfo processor : 5model name : Intel(R) Xeon(R) CPU E5-2620 0 @2.00GHz...cpu MHz : 1200.000这个是Intel E5-2620的CPU,他是2.00G * 24的CPU,但是,我们发现第5颗CPU的频率为1.2G。这是什么原因列?这些其实都源于CPU
发布时间:2014-01-20 15:15 | 阅读:80562 | 评论:0 | 标签:数据库 mysql

使用Sphinx做数据库优化

Sphinx是一个基于SQL的全文检索引擎,可以结合MySQL,PostgreSQL做全文搜索,它可以提供比数据库本身更专业的搜索功能,使得应 用程序更容易实现专业化的全文检索。Sphinx特别为一些脚本语言设计搜索API接口,如PHP,Python,Perl,Ruby等,同时为 MySQL也设计了一个存储引擎插件。 Sphinx 单一索引最大可包含1亿条记录,在1千万条记录情况下的查询速度为0.x秒(毫秒级)。Sphinx创建索引的速度为:创建100万条记录的索引只需 3~4分钟,创建1000万条记录的索引可以在50分钟内完成,而只包含最新10万条记录的增量索引,重建一次只需几十秒。下面来介绍sphinx的安装。1、请确认安装了mysql服务器,和常用开发包。2、确认mysql的数据结构。数据表使用表分区存储
发布时间:2013-07-20 18:35 | 阅读:99599 | 评论:0 | 标签:数据库

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云