2019-11-26:密码学基础知识,csrf防御
信息安全的基础是数学--->密码算法--->安全协议(ssl VPN)-->应用(证书 PKI)
密码学入门
密码编码学:研究加解密算法的学科
密码分析学:研究破译密码算法的学科
加解密分类
古典密码学
移位(置换),不改数据内容只是重新排序来隐藏信息,如 栅栏密码、列置换密码
替换(代替),明文数据被其他字母、数字、或其他符号替换,单表替换,仿射密码,多表替换,维吉尼亚密码
近现代密码学
对称密码算法(单钥密码系统),加密和解密的密钥是同一个,其安全性取决于密钥的保密性,常用加密算法AES,DES,3DES,RC4,SM4国密等
非对称密码算法(公钥密码算法),由加解密的密钥不一样,一般加密是公钥,解密使用私钥,其安全性问题取决于困难性问题,非对称常用密码算法,RSA(困难性在于大整数分解困难性问题),EIGamal(困难性在于离散对数问题),ECC(椭圆曲线离散对数问题),SM2国密(困难问题取决于椭圆曲线离散对数问题)等
单向散列函数(哈希函数),md4,md5,sha1,sm3国密,将不定长明文数据加密成定长的密文数据,并且解密不出明文,解密利用彩虹表
csrf依赖关系
1,web浏览器支持会话相关的功能,如cookie和http认证信息
2,攻击者知道合法的web应用url
3,应用程序进行会话管理所需要的信息,浏览器已经获得
4,直接进行http/https资源访问的html标签,如图像标签,img
csrf防御
1,验证Referer头域,验证请求发起的位置,但是Referer可以伪造不算太靠谱
2,验证tooken
3,验证用户原始数据,如原密码,邮箱,验证码等