web安全——基础知识(密码学)

最新推荐文章于 2025-04-08 10:41:27 发布
原创 最新推荐文章于 2025-04-08 10:41:27 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #ssl #服务器

本文介绍了Web安全的基础知识,重点讲解了SSL/TLS握手过程,包括版本协商、密码组合确定、身份验证和会话密钥生成。同时,探讨了公钥密码体系的概念,如非对称加密、公钥与私钥的使用,以及常见的公钥加密算法。此外,还概述了对称密码体系,强调其高效性和密钥管理的挑战。

一、SSL/TLS握手过程

HTTPS是在HTTP层和TCP层之间加了一个SSL/TLS层
在这里插入图片描述

  • SSL,TSL协议不兼容,SSL已被TLS取代

TLS 握手的目的是建立安全连接,那么通信双方在这个过程中究竟干了什么呢?

  • 商定双方通信所使用的的 TLS 版本 (例如 TLS1.0, 1.2, 1.3等等);
  • 确定双方所要使用的密码组合;
  • 客户端通过服务器的公钥和数字证书 (上篇文章已有介绍)上的数字签名验证服务端的身份;
  • 生成会话密钥,该密钥将用于握手结束后的对称加密。
    在这里插入图片描述
    过程描述:
    客户端首先发送消息给服务器,服务器响应给客户端包含数字证书。客户端会验证数字证书并获取公钥,生成随机字符串并用公钥将其加密后发送给服务器。服务器使用私钥解密获取客户端生成的随机字符串。服务器端和客户端双方使用共同的算法生成共同的密钥。握手完成,双方使用对称加密进行安全通信。

二、公钥密码体系

公钥密码又称为双钥密码非对称密码。加解密密钥不同,是非对称的。

公钥密码基本步骤

  1. 每个用户生成一对密钥,分别用于加解密。
  2. 用户在公共位置放置公钥,私钥自己保存,不能公开。
  3. 若A想向B发送私密消息,A可以利用B的公钥加
最低0.47元/天 解锁文章
web安全密码学基础
weixin_39664643的博客
12-29 636
密码学是研究信息安全保护的科学,以实现信息的保密性、完整性、可用性及抗抵赖性,简单说就是全方位无死角保护所传送的信息! 密码学主要由密码编码和密码分析两个部分组成。密码编码学研究信息等变换处理以实现信息等安全保护,密码分析学研究通过密文获取对应的明文信息。简单来说就是密码编码研究加密技术,密码分析研究如何破解密码。 0x01 密码系统 密码系统(Cryptosystem)由以下五个部分组成 明文空间 M:需要采用密码技术进行保护的消息 密文空间 C:用密码技术处理过的明文的结果 密钥空间 K:
一文搞懂web中暗藏的密码学
前端劝退师
11-12 1100
前言 开发网站登录功能时,如何保证密码在传输过程/储存的安全? 相信不少前后端的朋友,在面试时都会被问到类似的问题。 在我对密码学一无所知时,也仅会回答:“MD5加密啊。” 诸不知,密码学在网络七层模型,甚至web开发中的应用比我想象得多得多。 1. 什么是密码学密码学是各种安全应用程序所必需的,现代密码学旨在创建通过应用数学原理和计算机科学来保护信息的机制。但相比之下,密码分析旨在解密此类...
web安全基础入门(四):密码学、编码、进制及其应用的初步了解
T1ancat的博客
02-28 1107
密码学值得网络安全的小伙伴进行学习,可以不用学的非常深入,但是至少,基本的概念要理解,以及常见的应用常见在哪,学完至少能分辨常见的字符串是何种编码或加密方式,如果文章有不正确的地方,欢迎大家指出来~
Web安全——密码安全
mapbar_front的博客
06-18 2000
1、密码的作用是什么? 就是为了证明“你就是你的问题”。计算机为了识别人的时候,需要密码。 2、密码的泄漏渠道。 数据库被偷 服务器被入侵 通讯被窃听(http协议被窃听) 内部人员泄密 通过撞库的方式 3、密码存储 严禁明文存储(防泄漏) 单向变换 变换复杂度分析 密码复杂度的要求 4、哈希算法 明文-密文————是一一对应的。 雪崩效应————只要明文一点点不一样...
web开发之密码学
u010134884的专栏
01-11 3221
密码学基础原理!
计算机网络安全——密码学入门
weixin_65190179的博客
01-17 4275
非对称加密虽然速度较慢,但它解决了密钥分发的问题,因为它允许任何人使用公钥加密消息,只有持有对应私钥的人才能解密,这使得它非常适合用于数字签名和加密初始通信阶段的密钥交换。根据这些原则,一个加密系统的安全性主要取决于密钥的秘密保持和密钥空间的大小,而不是加密算法本身的秘密性。网络安全是指在网络领域、专业领域的网络安全包括在基础计算机网络基础设施中所做的规定,网络管理员采取的策略来保护网络及网络可访问资源免受未经授权的访问,以及对其有效性(或缺乏)的持续不断的监控和测量的结合。
计算机网络安全——密码学(1)
2401_84281703的博客
04-30 556
DES算法是对称加密分组算法,密钥长64bit,其中56位参与运算,8位位校验位。
精选资源
密码学和网络安全原理与实践,第七版William Stallings
04-01
通过阅读《密码学与网络安全:原理与实践》第七版,读者可以系统地学习到密码学的理论知识,并结合实际案例理解网络安全的实践应用。书中的习题和案例研究有助于巩固学习,提升解决实际问题的能力。对于网络安全从业...
网络安全基本知识——密码(一)
oceanL01的博客
07-11 2594
网络安全密码部分概括
web--密码口令
Knsec
05-20 349
ctfhub---web--密码口令
【GitHubShare】Web 前后端开发、以太坊基础、智能合约、密码学、数据分析
m0_67539813的博客
03-11 9071
《区块链开发指南》。 作者通过 NFT 进行募资,然后将资金用于激励社区创作,让参与教程编写的人都能获益。从项目创建之初,教程便一直保持开放。 GitHub:github.com/dcbuild3r/blockchain-development-guide 该教程主要讲解 Web 前后端开发、以太坊基础、智能合约、密码学、数据分析等知识。 ...
纯前端实现一个密码本H5App
李剑一
06-11 955
纯前端实现一个密码本H5App。 开发工具:Hbuilder X 开发语言:HTML、CSS、JavaScript 项目需求:一个纯前端的密码本App,需要实现完整的增删改查操作。页面主页(index.html)实现一个三段式的布局,期间分别为“银行卡、工作账号、游戏账号”三大类,每个类别点击进入后呈现出一个流式布局的按钮,每个按钮对应自己的账号。 点击跳转后,进入密码查看阶段。密码查看的页面统一...
简述web安全中加密解密算法
w18842156489的博客
05-24 1318
前言:在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本篇文章讲解各种加密编码等知识的基本了解,便于后期的学习和发展。aes加密后的信息和base64一样,因为其加密可以以base64输出,那么我们在解密base64解不出来是乱码的时候或者解密出来不知道是什么东西的时候就得想想了。MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES 等。1.比如MD5:最常见,最简单的一个加密方式。
web后台常用的万能密码
hahaha233330的博客
10-26 1万+
网站后台万能密码就是在用户名与密码处都写入下列字符,如果知道管理员帐号的话直接添帐号,效果会更好。 例如我们要利用第一条就是: 用户名:"or “a”="a 密码:"or “a”="a 1:"or “a”="a 2: ‘.).or.(’.a.’=’.a 3:or 1=1– 4:‘or 1=1– 5:a’or’ 1=1– 6:"or 1=1– 7:‘or.‘a.’=‘a 8:“or”="a’=‘a 9:‘or’’=’ 10:‘or’=‘or’ 原理都是利用SQL语法来利用注入,其实这也是注入的一种,都是
CTFHub(web密码口令)
2301_81105268的博客
04-01 663
题目提示:通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。打开环境,是一个登录页面用户名输入admin,随便输入一个密码使用bp进行抓包抓包内容发送到Intruder,在密码前后加$载入弱口令字典开始攻击,查看回显不正常的密码找到flag。
TongWeb7.0企业版重置控制台登陆密码
hello world
02-15 4315
利用 TW_HOME/domain_template/conf/security/twuser.xxx 文件模版去覆盖TW_HOME/conf/security目录下的同名文件,或是域下的conf/security目录对应文件即可, 重启TongWeb恢复原始密码
[ctfshow web入门] web21 跑密码本爆破
最新发布
qq_50332504的博客
04-08 503
本文介绍了Base64编码特征识别及暴力破解方法。通过抓包分析发现HTTP请求头中的Authorization字段采用Basic认证(Base64编码)。文章提供了两种破解方案:1)使用Burp Suite Intruder模块,需预置"admin:"的Base64编码作为前缀,配合字典进行爆破;2)编写Python脚本自动完成编码和爆破流程,通过比对响应状态码判断破解结果。文中特别强调完整字典对成功破解的重要性,并指出Web22题目因域名变更已废弃。案例代码包含Base64编码函数和爆
web漏洞】弱口令
qq_21193587的博客
06-04 4万+
弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形 式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母 或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口 令;设置的口令属于流行口令库中的流行口令。 漏洞危害 绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码
在线密码破解教程,web登录爆破(hydra的简单使用
热门推荐
weixin_43039349的博客
04-16 14万+
hydra是一个极其强大的在线破解密码的工具(人称爆破神器) ——本文献给无聊的计算机系大学生们 密码破解从大类来分可以分为两种,一种是在线破解,这种方hydra式一般要求待破解的对象对我们来说是可以正常提供服务的,通俗来讲就是能够让我们通过一定的途径去尝试登录,或者是验证用户密码的正确性。而另一种就是本地破解,比如wifi抓包破解wifi密码,只要提前抓到了wifi登录验证的数据包,就可以在本地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值