RSA的破解从理论上来讲是大数质数分解,可是就是有一些人另辟蹊径,根据你解密的时间长短就能破解你的RSA私钥. 举一个不恰当但是比较容易理解的例子: 密文0101 私钥0110 明文0100 问题的关键来了,进行&运算时如果有一个0,那么运算的时间为1ms,如果两个都是1,运算的时间是10ms(只是个假设). 基于以上假设,就可以破解私钥了.先构造一个0001的密文,获取解密的时间,如果是1ms左右,那么对应的位就是0, 如果是10ms左右,对应的1,依次类推,就把整个私钥推断出来了. 如何防范…

时序攻击属于侧信道攻击/旁路攻击(Side Channel Attack),侧信道攻击是指利用信道外的信息,比如加解密的速度/加解密时芯片引脚的电压/密文传输的流量和途径等进行攻击的方式,一个词形容就是“旁敲侧击”. 举一个最简单的计时攻击的例子,某个函数负责比较用户输入的密码和存放在系统内密码是否相同,如果该函数是从第一位开始比较,发现不同就立即返回,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的按位破解密码的场景.密码破解复杂度成千上万倍甚至百万千万倍的下…

王龑 - MAY 27, 2015 原文连接 The Spy in the Sandbox – Practical Cache Attacks in Javascript 相关论文可在 https://github.com/wyvernnot/cache_attack_in_javascript 下载 作者和单位 Yossef Oren (yos AT cs.columbia.edu) Vasileios P. Kemerlis (vpk AT cs.columbia.edu) Simha Se…

原文 The Spy in the Sandbox – Practical Cache Attacks in Javascript 相关论文可在 https://github.com/wyvernnot/cache_attack_in_javascript 下载 作者和单位 Yossef Oren (yos AT cs.columbia.edu) Vasileios P. Kemerlis (vpk AT cs.columbia.edu) Simha Sethumadhavan (simha A…

CTR 计数器模式 计数器模式CTR是分组密码模式中的一种.通过将逐次累加的计数器进行加密来生成密钥流的流密码.每次加密时会生成一个不同的值来作为计数器的初始值. 可以事先进行加密.解密的准备. 加密.解密使用相同结构. 对包含某些错误比特的密文进行解密时,只有明文中响应的比特会出错. 加密和解密均支持并行运算.可以以任意顺序对分组进行加密和解密. 在CTR模式基础上添加认证功能的模式称为GCM模式.生成密文的同时生成用于认证的信息.用于识别主动攻击者发送的伪造的密文. 混合密码系统 混合密码系…

预备数论知识 互质关系 如果两个正整数,除了1以外,没有其他公因子,那么就称这两个数是互质关系 比如:4和7,13和61 欧拉函数 思考:任意给定整数n,在小于等于n的正整数中,有多少个数与n构成互质关系? 计算这个值的方法即欧拉函数,以\(φ(n)\)表示 第一种情况: 如果n=1,则\(φ(n)\)=1,因为1和任何数互质 第二种情况: 如果n是质数,则\(φ(n)\)=n-1:易证 第三种情况: 如果n是质数的某一次方,即:\[n=p^k \quad(p为质数,k为大于1的整数)\] 则:…

RSA 学习档案 基本原理 随机选择两个质数p,q模数n=p*qφ(n)=(p−1)(q−1)选择加密指数e: 1 < e < φ(n)计算机密指数d: e*d % φ(n) = 1c = m ^ e % nm = c ^ d % n 常见攻击方式 模数分解 1.直接分解 n小于256bit可以本地暴力分解.去factordb查询是否有已经分解成功的结果. 2.给出多个n,可以尝试计算n之间的最大公约数. from libnum import * n1 = 905101396540408448…

RSA加密算法初探 RSA加密算法是早期的非对称加密,公钥和私钥分离,公开公钥,通过确保私钥的安全来保证加密内容的安全.由麻省理工学院的罗纳德·李维斯特(Ron Rivest).阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)在1977年一起提出的,所以算法由他们三人的姓名首字母来命名. 有关RSA加密算法原理以及应用的文章在网上有很多,CTF中,RSA在密码学,misc以及逆向中考察得也很频繁(有些题目中好像也会出现RSA的魔改版本~Orz).这里是我个人…

目录 1. 介绍 polynomially larger 2. 连分数背景知识 3. 连分数算法 4. 连分数算法在RSA中的应用 5. 例子 6. 对RSA连分数攻击的反制 7. 对于攻击的改进 8. 未解决的问题 9. 总结 1. 介绍 从RSA公钥加密系统的所有密钥对的集合中,一些密钥对有着可以被各种密码分析攻击利用的性质.这些攻击一些利用模量(N)中的弱点来进攻,而另一些则利用公钥或私钥的弱点.这篇文章所讨论的弱点是可以在模量长度上和多项式时间内完成攻击的的弱点(The weakness…

每次要用PHP的某个功能的时候,都要去查一下,于是决定将PHP所有类和函数都整理出来,加上注释 大致实现 将php.jar文件解压,取出目录stubs 将stubs中的所有php文件中的注释去掉,并做格式化处理,放在目录output 将所有文件中类和函数解析出来 从http://php.net/manual/zh/中将类和函数注释解析出来 格式化输出类和函数及所有注释 github地址:https://github.com/chentaihan/phpNote a 0 acos 反余弦 1 ac…

在图书馆发现一本<网络多人游戏架构与编程>-- Joshua Glazer, Sanjay Madhav 著.书挺新的,17年出版的,内容很有趣,翻一翻可以学到不少在<计算机网络>上不会讲到的内容,故做此纪录. 前几章,第一章简单介绍了网络游戏的历史和发展,第二章讲了how Internet works, 第三章讲的是 Berkeley Socket,就略过了. 对象序列化 序列化:是指把内存中的内容转化为比特流的形式.比特流是通过网络传输的形式,在主机和服务器上还可以恢复为原始格…

BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 BlackArch Linux是针对渗透测试人员和安全研究人员的基于Arch Linux的渗透测试分发版.BlackArch Linux预装有上千种专用工具以用于渗透测试和计算机取证分析.BlackArch Linux与现有的Arch安装兼容.您可以单独或成组安装工具.https://blackar…

为什么要使用JWT认证?构成和原理又是什么?怎么还有Base64的事?我都写了…

原文 Node.js Interview Questions for 2017 什么是error-first callback? 如何避免无止境的callback? 什么是Promises? 用什么工具来保证代码的一致性风格? 为什么保持一致性风格很重要? When should you npm and when yarn? 什么是stub? 举个例子! 什么是test pyramid? 举个例子! 你喜欢哪个HTTP框架,为什么? 如何保护你的HTTP cookies 不遭受XSS攻击? 如何…

转载来自: http://www.infocool.net/kb/PHP/201607/168683.html a 函数 说明 abs 绝对值 acos 反余弦 acosh 反双曲余弦 addcslashes 以 C 语言风格使用反斜线转义字符串中的字符 addslashes 使用反斜线引用字符串 apache_child_terminate 在本次请求结束后终止 apache 子进程 apache_getenv 获取 Apache subprocess_env 变量 apache_get_mo…

Atitit.加密算法ati Aes的框架设计 版本进化 c:\1t\aesC47.java c:\1t\aes.java 增加了public static byte[] encrypt(byte[] byteContent, String password) { public static byte[] decrypt(byte[] content, String password) public static  String encrypt(String  str, String passw…

<?php /*php5.3*/ echo '<hr>'; const MYTT = 'aaa'; #print_r(get_defined_constants()); /* 5.4 新增短数组语法,比如 $a = [1, 2, 3, 4]; 或 $a = ['one' => 1, 'two' => 2, 'three' => 3, 'four' => 4]; . 新增支持对函数返回数组的成员访问解析,例如 foo()[0] . 现在 闭包 支持 $this .…

Atitit.加密算法ati Aes的框架设计v2.2 版本进化1 V2.2   add def decode key api1 v1版本1 Aes的历史2 Atitit.加密算法 des  aes 各个语言不同的原理与解决...2 版本进化  V2.2   add def decode key api /atiplat_cms/src/com/attilax/secury/AesV2q421.java V2.1 * @author attilax * v2.1   add def key ap…

PHP 5.6 1.可以使用表达式定义常量 https://php.net/manual/zh/migration56.new-features.php 在之前的 PHP 版本中,必须使用静态值来定义常量,声明属性以及指定函数参数默认值. 现在你可以使用包括数值.字符串字面量以及其他常量在内的数值表达式来 定义常量.声明属性以及设置函数参数默认值. <?php const ONE = 1; const TWO = ONE * 2; //定义常量时允许使用之前定义的常量进行计算 class C {…

1. PHP博物馆 php各个版本的代码库 2. PHP-GTK php桌面程序 3. Pecl 4. Pear 5. php调试器 目前还不清楚具体有什么大的优势,为什么要用, IDE不能满足吗 6. 加密 加密算法还是要好好看看的 时序攻击 7. yield 官方解释 8. php扩展 9. DTrace 在支持 DTrace 动态跟踪的平台上,可以配置 PHP 打开 DTrace 静态探针.…

答案在题目后面,文字与背景同色,连续单机三次鼠标一行出答案哦: 1.PHP有几种原始数据类型,分别是什么?答:八种,分别是:int,float,string,bool,array,object,resouce,NULL 2.获取变量类型的函数是什么?答:gettype(var) 3.改变变量类型的两个方式分别是什么?答:(类型)变量,settype(变量,类型) 4.PHP输出换行符,回车符,制表符等特殊符号使用单引号还是双引号?答:双引号 5.换行符和回车符分别怎么写?答:"\n"换…

-u #注入点 -f #指纹判别数据库类型 -b #获取数据库版本信息 -p #指定可测试的参数(?page=1&id=2 -p "page,id") -D "" #指定数据库名 -T "" #指定表名 -C "" #指定字段 -s "" #保存注入过程到一个文件,还可中断,下次恢复在注入(保存:-s "xx.log" 恢复:-s "xx.log" –resu…

本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/92 了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的. 本函数可以用在需要防止时序攻击的字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景. 上面提到了时序攻击,什么…

关键时刻,第一时间送达! 目前 Oracle 已经发布了 Java Development Kit 10,下个版本 JDK 11 也即将发布.本文介绍 Java 11 的新功能. 根据Oracle新出台的每6个月发布一次Java SE的节奏,Java 11将于2018年9月发布,迄今为止Oracle已经宣布了好几个新功能. 此外,Java 11还将删除一些功能,其中包括删除CORBA和Java EE(最近更名为Jakarta EE)模块,以及删除JavaFX. 与JDK 10不同,JDK 11将…

目前 Oracle 已经发布了 Java Development Kit 10,下个版本 JDK 11 也即将发布.本文介绍 Java 11 的新功能. 根据Oracle新出台的每6个月发布一次Java SE的节奏,Java 11将于2018年9月发布,迄今为止Oracle已经宣布了好几个新功能. 此外,Java 11还将删除一些功能,其中包括删除CORBA和Java EE(最近更名为Jakarta EE)模块,以及删除JavaFX. 与JDK 10不同,JDK 11将提供长期支持,还将作为Ja…

本文介绍了对密码哈希加密的基础知识,以及什么是正确的加密方式.还介绍了常见的密码破解方法,给出了如何避免密码被破解的思路.相信读者阅读本文后,就会对密码的加密有一个正确的认识,并对密码正确进行加密措施. 作为一名Web开发人员,我们经常需要与用户的帐号系统打交道,而这其中最大的挑战就是如何保护用户的密码.经常会看到用户账户数据库频繁被黑,所以我们必须采取一些措施来保护用户密码,以免导致不必要的数据泄露.保护密码的最好办法是使用加盐密码哈希( salted password hashing).  …

php新增的特性,只是略微整理,并不完全. 一.php5.3添加的新特性 1.?:简化的三元运算符 <?php $cur = $cur ? $cur : 1; $cur = $cur ?: 1; 2.匿名函数 <?php $test = function() { echo 'test'; }; $test(); $arr = array(1, 2, 3, 4, 5); $arr = array_map(function($n) { return $n * 2; }, $arr); print_…

hmac 模块,基于密钥的哈希算法 1.模块对象 1.1 HMAC 对象 1.1.1 初始化构建类:需要通过模块方法 hmac.new(key[, msg[, digestmod]]) 创建一个新对象 参数设置:key:密钥msg:数据digestmod:哈希算法,默认 hashlib.md5 1.1.2 实例方法 update(arg):用 arg 更新加密数据,是追加而不是替换digest():返回加密后二进制结果字符串,大小为 digest_size 字节hexdigest():返回加密后…

http://www.expreview.com/34434.html 除了LINE以外,最近微软的OneDrive云存储服务也出现访问故障,不过@月光博客 表示它只是受到DNS污染,被解析为无法访问的韩国IP,使用DNSCrypt软件就可以正常访问了,另一个云存储服务Dropbox也同样适用. 前天晚上聊天工具LINE开始出现大规模访问故障,现在微软的OneDrive云存储服务也无法正常访问了,不过幸好这次仅是DNS污染,要解决也不是难事. 根据@月光博客的描述,虽然微软昨天才升级了OneDr…

PHP 5.6 1.可以使用表达式定义常量 https://php.net/manual/zh/migration56.new-features.php 在之前的 PHP 版本中,必须使用静态值来定义常量,声明属性以及指定函数参数默认值. 现在你可以使用包括数值.字符串字面量以及其他常量在内的数值表达式来 定义常量.声明属性以及设置函数参数默认值 <?php const ONE = 1; const TWO = ONE * 2; //定义常量时允许使用之前定义的常量进行计算 class C {…