记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

吐槽TLS:能用和能用好之间差别很大

互联网,正是因为有加密技术,尤其是TLS(传输层安全,原名SSL安全套接字),才呈现出今天这种如我们所知的景象。没有了这一关键技术提供在线私密通信方法,电子商务可能根本不会出现,互联网也可能仅仅是分享冷笑话的全球联欢热线。尽管SSL/TLS至关重要,却一直备受忽视,甚至还不断被削弱。在出口算法上,政府监管部门任由FREAK和各种降级攻击肆虐。不过,因研究方面忽视而直到实际攻击出现的例子也不少。上个月的AusCERT上,研究员汉诺就用一张幻灯片很好地总结了一下:幻灯片中是一张针对SSL/TLS漏洞所做研究的列表,以及研究发表后数年才暴露出来的攻击事件。这些攻击,本可以用研究中描述的缓解方法避免掉的。从上述这些例子中我们可以看出,问题暴露在安全社区眼皮底下的年限通常都有12年左右,但缓解措施却经历了这漫长的12年都
发布时间:2016-07-19 05:25 | 阅读:103376 | 评论:0 | 标签:牛闻牛评 MD5 TLS 加密 网络攻击

开发安全指南:如何安全地储存用户密码

0×00 前言首先如果你对密码学的概念以及使用并不熟悉,或者你正需要进行一些密码学的引导,那么我推荐你阅读一下这篇内容。此前我们就曾明确的表示,即使是安全建议也应该有个保质期。因此和我们过去发布的大多数博客文章不同,上面那篇内容实际上是处在一种“随时更新”的状态:当对安全的需求变化以及新的攻击形式被发现时,我们都会做出相应的变更。这里我们提出一个密码安全观点:不要存储明文密码,而是存储密码的哈希值。 事实上现在,生成安全的密码哈希值非常简单。但这里有个问题就是,你可能希望别人可以设置一个带密码的帐号,通过这个帐号和密码,别人可以登录到你的程序中,那么这一功能要怎样才能安全的实现?而解决这个问题也很简单——使用libsodium。它可以为大多数语言提供一个安全的密码哈希API。在1
发布时间:2016-02-19 20:35 | 阅读:152917 | 评论:0 | 标签:WEB安全 hash MD5 储存 密码

彩虹表完全参考手册

最近弄了个一T的硬盘,研究了一下目前网上彩虹表的现状,因此总结成此文,网上好多文章和地址都是旧的了。 彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是100G以上,目前主要的算法有LM, NTLM, MD5, SHA1, MYSQLSHA1, HALFLMCHALL, NTLMCHALL, ORACLE-SYSTEM, MD5-HALF。 目前来说主要是老外在做着方面的工作,国内基本没什么网站在弄了,贴几个经典的彩虹表网站: http://project-rainbowcrack.com 主要是下载生成程序和买现成的彩虹表的地方,主要的格式是r
发布时间:2013-04-08 20:25 | 阅读:205579 | 评论:0 | 标签:网络安全 crack md5 rainbowtables

Linux下调用openssl的md5类生成文件和字符串md5

Neeao's Blog ( http://neeao.com/ ) : 找个能使用的c++调用openssl的代码都这么难,自己写了个,记录下。 以下代码在CentOS5下测试可用。 //============================================================================ // Name : m d 5.cpp // Author : Neeao // Version : // Copyright : http://Neeao.com //======================================================================
发布时间:2013-01-07 20:04 | 阅读:145345 | 评论:0 | 标签:程序开发 md5 openssl centos

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云