版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、隨著互聯(lián)網(wǎng)技術(shù)的突飛猛進(jìn),據(jù)統(tǒng)計(jì)全球網(wǎng)民數(shù)量已經(jīng)突破20億。而且隨著社交網(wǎng)站、購(gòu)物網(wǎng)等熱門網(wǎng)站的興起和不斷壯大,注冊(cè)用戶的數(shù)目已經(jīng)接近于天文數(shù)字。在網(wǎng)絡(luò)帶給人們便捷的同時(shí),保護(hù)用戶的敏感信息已經(jīng)成為了舉足輕重的課題。通常采用密碼學(xué)方法加密和認(rèn)證敏感信息,但是由于傳統(tǒng)的密碼學(xué)體制不夠完善,所以目前的加密和認(rèn)證信息的技術(shù)并不是固若金湯,例如加密變長(zhǎng)數(shù)據(jù)所使用的幾種填充方式會(huì)導(dǎo)致嚴(yán)重的安全漏洞、一些公認(rèn)強(qiáng)度較高的消息摘要算法如SHA1算法在設(shè)
2、計(jì)上的缺陷同樣會(huì)造成的安全漏洞等。
本文所研究的PO(Padding Oracle)攻擊實(shí)質(zhì)上就是利用傳統(tǒng)密碼學(xué)在加密和認(rèn)證過程中的漏洞所進(jìn)行的一種新式web攻擊技術(shù)。在研究過程中通過闡述PO攻擊的原理,分析各個(gè)填充方法以及各個(gè)消息摘要算法的特點(diǎn),然后提出了攻擊SHA1的有效方法,進(jìn)而證明了目前推薦采用的Encrypt-then-MAC認(rèn)證加密模式修補(bǔ)策略在某些場(chǎng)景下的脆弱性。
目前存在兩大著名的優(yōu)秀PO攻擊工具,但
3、是它們?cè)谛阅苌洗嬖谔嵘臻g,對(duì)一些修補(bǔ)策略的攻擊功能上存在不足,它們最大的缺陷是不能攻擊帶認(rèn)證的加密策略。然而本文針對(duì)JSF、ASP.net兩大開發(fā)框架的特點(diǎn)分別編寫了相應(yīng)的PO攻擊工具,通過實(shí)際中的攻擊將本文所編寫的工具與兩大著名工具進(jìn)行對(duì)比,通過對(duì)比提出了改進(jìn)的方法。本文的改進(jìn)是針對(duì)目前被證明強(qiáng)度最高的用于完整性檢驗(yàn)的HMAC,提出了采用HMAC密鑰本進(jìn)行攻擊的方法。
本文所采用的攻擊工具在通常情況下能夠達(dá)到較好的攻擊效果
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- Oracle數(shù)據(jù)庫(kù)的注入攻擊和防御研究.pdf
- 關(guān)于網(wǎng)絡(luò)欺騙攻擊實(shí)現(xiàn)和防范的研究.pdf
- 關(guān)于中班幼兒攻擊性行為的個(gè)案研究
- Xen平臺(tái)上關(guān)于DDoS攻擊的檢測(cè)以及防御技術(shù)的研究.pdf
- 基于攻擊效用的復(fù)合攻擊預(yù)測(cè)方法研究.pdf
- 網(wǎng)絡(luò)協(xié)同攻擊建模及攻擊效果研究.pdf
- 談關(guān)于oracle數(shù)據(jù)庫(kù)安全性管理
- DDoS攻擊的對(duì)策研究.pdf
- DDoS攻擊防御關(guān)鍵技術(shù)的研究——DDoS攻擊檢測(cè).pdf
- 基于攻擊圖和Petri網(wǎng)的網(wǎng)絡(luò)攻擊模型研究.pdf
- 基于資產(chǎn)識(shí)別和攻擊效果的網(wǎng)絡(luò)攻擊分類研究.pdf
- 關(guān)于改善Oracle數(shù)據(jù)庫(kù)應(yīng)用軟件產(chǎn)品性能品質(zhì)的研究.pdf
- 基于攻擊文法的網(wǎng)絡(luò)攻擊建模和攻擊序列分析.pdf
- 關(guān)于中班幼兒攻擊性行為個(gè)案研究
- 關(guān)于3-7歲攻擊性兒童的社會(huì)認(rèn)知發(fā)展?fàn)顩r的研究.pdf
- 網(wǎng)絡(luò)攻擊分類及網(wǎng)絡(luò)攻擊系統(tǒng)模型研究.pdf
- MICKEY的錯(cuò)誤攻擊研究.pdf
- 基于Oracle的數(shù)據(jù)遷移優(yōu)化方法研究.pdf
- 復(fù)雜網(wǎng)絡(luò)的攻擊策略研究.pdf
- 網(wǎng)絡(luò)攻擊驗(yàn)證技術(shù)的研究.pdf
評(píng)論
0/150
提交評(píng)論