时序攻击属于侧信道攻击/旁路攻击(Side Channel Attack),侧信道攻击是指利用信道外的信息,比如加解密的速度/加解密时芯片引脚的电压/密文传输的流量和途径等进行攻击的方式,一个词形容就是“旁敲侧击”. 举一个最简单的计时攻击的例子,某个函数负责比较用户输入的密码和存放在系统内密码是否相同,如果该函数是从第一位开始比较,发现不同就立即返回,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的按位破解密码的场景.密码破解复杂度成千上万倍甚至百万千万倍的下…

众所周知,我们可以通过rails s 这个命令来启动一个rails 项目,但是这条命令都干了哪些事呢?抽时间研究了下,同时感谢tomwang1013的博客.当我们输入rails s 这个命令的时候,项目会加载项目bin/rails.rb 这个文件 #!/usr/bin/env ruby APP_PATH = File.expand_path('../../config/application', __FILE__) require_relative '../config/boot' requir…

前情提要: Paas(平台及服务)公司Heroku是个可以把我们写好的App部署到网际网络的好地方.而本篇是我从自己的上一篇文章:将Ruby on Rails项目部署到Heroku遇到的问题,当时困扰了快两小时,好在搜寻完解法搞定完后,就兴奋地延伸为一篇文章了!找到点子写文章果然是遇到bug的最佳副产品 Heroku的数据库是使用PostgreSQL,而这篇文章有说明为什么不用SQLite在Heroku. 但Rails框架在我们的电脑本机rails new app设定时,为了初学者快速理解学习,…

今天想笔记的是把自己写的Ruby on Rails项目部署(Deploy)到Heroku! Heroku是Salesforce公司旗下的云端服务商,支持多种程序语言像是Ruby,PHP,Python等等. 提早让应用程序能快速建置.部署的主要好处就是提早一步发现问题啰, 如果将所有功能都写好再一起丢上去,可能会不容易发现不同的错误是分别出在哪里! 而且能在网路上让全世界看到自己努力实作的成果,还是比只有在本机localhost观赏更有成就感的. 以下以我在前篇文章写的Ruby on Rails项…

RSA的破解从理论上来讲是大数质数分解,可是就是有一些人另辟蹊径,根据你解密的时间长短就能破解你的RSA私钥. 举一个不恰当但是比较容易理解的例子: 密文0101 私钥0110 明文0100 问题的关键来了,进行&运算时如果有一个0,那么运算的时间为1ms,如果两个都是1,运算的时间是10ms(只是个假设). 基于以上假设,就可以破解私钥了.先构造一个0001的密文,获取解密的时间,如果是1ms左右,那么对应的位就是0, 如果是10ms左右,对应的1,依次类推,就把整个私钥推断出来了. 如何防范…

错误1 1. 报403错误,是因为启动nginx的用户默认是nobody,没有对项目目录的访问权限. user myName; worker_processes ; 错误2 2. 报404错误,是因为在nginx.conf中未配置passenger server { listen ; server_name localhost; passenger_enabled on; 错误3 3.  Missing `secret_token` and `secret_key_base` for 'prod…

ruby-on-rails ruby 本地 Rails 默认5.1.6 版本 $ gem list --local rails (5.1.6, 5.1.5, 5.1.4) 使用 version 生成指定version的项目 rails _version_ new application_name 例如:生成 5.1.6  rails _5.1.6_ new NewProjectName…

现象: D:\>rails new work/demo cd work/demo D:\work\demo>ruby script/server 这时显示出错: ruby: No such file or directory -- script/server (LoadError) 解决办法: 3.0直接用 rails server…

有时候第一次用rails g model或者scaffold建立数据模型的时候难免会出错,比如字段类型错误或者字段名称错误,甚至少添加或多添加了几个字段哦.这种情况下手动去修改数据结构是比较头疼的,官方的做法是使用: rails g migration xxxForModelName 在db/migrate中会生成一个新的rb文件,然后修改里面的内容,有如下方法: remove_column :删除字段 rename_column  :更改字段的名称 change_column  :修改字段的类…

什么是XSS攻击 简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说 系统架构主要是SSM框架,服务层另外使用了DubboX.   为啥说这个,因为SpringMVC对于Xss攻击需要特殊处理 思路 其实XSS工具解决思路就是捕获客户端提交的参数进行捕获,然后对参数值进行过滤处理,去除那些非法的字符. 但是请求通常分为GET请求与POST请求,针对不同的请求,处理方式是不一样的 步骤: 1.针对GET与非文件格式上传的post请求.(form 表单提交的时候 没有这个参数e…