密码用单向哈希存储保证了数据库被脱后用户密码的安全. 由于彩虹表这种攻击方式的存在,一般认为md5,SHA1等单向算法的安全性是不够的.那如何选择合适的加密算法? 下面介绍业界几种高强度单向哈希算法,并比较其优劣. PBKDF2 PBKDF2 是一个比较简单的算法,它根据’iterations’参数大小,执行N次HMAC运算. HW数据库密码存储的最低安全要求是,1000次HMAC-SHA256计算,推荐的是1万次.当然满足最低要求前提下,到底多少次合适需综合考虑性能要求. 使用GPU阵列.或F

密码 Hash 值的产生是将用户所提供的密码通过使用一定的算法计算后得到的加密字符序列.在 Java 中提供很多被证明能有效保证密码安全的 Hash 算法实现,我将在这篇文章中讨论其中的部分算法. 需要注意的是,一旦生成密码的 Hash 值并存储在数据库中后,你将不可能再把它转换回密码明文.只能每次用户在登录到应用程序时,须重新生成 Hash 值与数据库中的 Hash 值匹配来完成密码的校验. 简单的密码安全实现使用 MD5 算法 MD5消息摘要算法(MD5 Message-Digest Alg

如果你是一个 web 开发工程师,可能你已经建立了一个用户账户系统.一个用户账户系统最重要的部分是如何保护密码.用户账户数据库经常被黑,如果你的网站曾经被攻击过,你绝对必须做点什么来保护你的用户的密码.最好的用来保护密码的方式是采用加盐密码散列 (salted password hasing). 本文将解释为什么要这样做. 互联网上充斥着大量的误导信息,有许许多多的关于如何正确做密码散列的矛盾的观点,有些甚至是误解.密码散列是一个简单的事情,但是仍然有很多人做错了.在这篇文章中,我不仅将解释正确

目录 前言 编码安全 反序列化命令执行 SQL 注入 跨站 XSS(Cross-site scripting) 跨站请求伪造 CSRF(Cross-site request forgery) URL跳转 文件安全 任意文件上传 任意文件下载 权限安全 垂直权限安全/纵向越权 水平权限安全/横向越权 信息安全 密码 个人敏感信息 验证码安全 参考资料 前言 安全无小事,成败在细节,网络有风险,灾难弹指间. 安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心.正因为安全看不见,所以往往

源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版本号:5.0.x 参考手册 [翻译自官方GIT - 2018.06.12] Spring Security参考手册 Spring Security是一个强大且高度可定制的身份验证和访问控制框架. 这是保护基于Spring的应用程序的事实标准. 前言 Spring Security为基于Java EE

目录 一.MAC 消息认证码 MAC 与哈希函数.数字签名的区别 MAC 的应用 1. 验证消息的真实性.完整性 2. AE 认证加密 - Authenticated encryption 3. 基于 MAC 的伪随机数生成器 二.KDF 密钥派生函数 参考 本文主要翻译自 Practical-Cryptography-for-Developers-Book,但是笔者也补充了 HMAC 的 Python 实现以及 scrypt 使用示例. <写给开发人员的实用密码学>系列文章目录: 写给开发人

不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/16/owasp-top-10-asp-net-core-broken-authentication-session-management/ 在我们之前关于OWASP Top 10的文章中,我们讨论了SQL注入.SQL注入有一个非常明确的解释和例子,但这次我们讲的个关于"失效的访问控制和S

编写好继承了WebSecurityConfigurerAdapter类的WebSecurityConfig类后,我们需要在configure(AuthenticationManagerBuilder auth) 方法中定义认证用于信息获取来源以及密码校验规则等.(configure函数名字不重要,官方用的好像是configureGlobal(……),重要的是在这个被@EnableWebSecurity或@EnableGlobalMethodSecurity,或者@EnableGlobalAuth

问题描述 SpringBoot升级到了2.0之后的版本,Security也由原来的版本4升级到了5 使用WebSecurityConfigurerAdapter继承重置方法 protected void configure(AuthenticationManagerBuilder auth) throws Exception { //inMemoryAuthentication 从内存中获取 auth.inMemoryAuthentication().withUser("user1")

转载请注明出处 http://www.cnblogs.com/majianming/p/7923604.html 最近在学习spring security,但是在设置客户端密码时,一直出现了一下错误提示,原来没有问题的,认真上次到现在这之间的时间动了什么,我想到了我把 spring security 升级到了5.0.0,应该是这里的问题,那么总需要解决,回退也不是方法吧 仔细查找资料,发现了一下两篇资料,其实是一样的意思 https://spring.io/blog/2017/11/01/spr

参考一下两个案例:https://www.cnblogs.com/haoliyou/p/9606018.html https://www.cnblogs.com/haoliyou/p/9606036.html .authorizedGrantTypes("authorization_code", "password", "refresh_token")//授权码模式和password模式 package com.auth.server.confi

近期一直在研究鉴权方面的各种案例,这几天有空,写一波总结及经验. 第一步:什么是 OAuth鉴权 OAuth2是工业标准的授权协议.OAuth2取代了在2006创建的原始OAuthTM协议所做的工作.OAuth 2.0关注客户端开发人员的简单性,同时为Web应用程序.桌面应用程序.移动电话和客厅设备提供特定的授权流. 参考理解:  Oauth2.0     理解OAuth 2.0     QQ授权      微信授权 第二步:什么是密码模式 密码模式(Resource Owner Passwor

近期一直在研究鉴权方面的各种案例,这几天有空,写一波总结及经验. 第一步:什么是 OAuth鉴权 OAuth2是工业标准的授权协议.OAuth2取代了在2006创建的原始OAuthTM协议所做的工作.OAuth 2.0关注客户端开发人员的简单性,同时为Web应用程序.桌面应用程序.移动电话和客厅设备提供特定的授权流. 参考理解:  Oauth2.0     理解OAuth 2.0     QQ授权      微信授权 第二步:什么是授权码模式 授权码模式(authorization code)是

@ 目录 1. Spring Security 2. 实验环境准备 3. 日志级别修改 4. 配置用户名/密码 5. 数据库方式校验 6. 不拦截静态资源 7. 自定义登录页面 8. Remember me 1. Spring Security Spring Security 是 Spring 家族中的一个安全管理框架,应用程序的两个主要区域是"认证"和"授权"(或者访问控制).Spring Security是针对Spring项目的安全框架,也是Spring Boo

一.本例环境说明 JDK 1.8 CAS 5.3 apache-maven-3.6.0 mysql-5.6.32 二.CAS 5.3基础环境搭建与验证 需要按照<CAS 5.3服务器搭建>搭建好环境,并使用系统默认用户名密码验证通过. 三.MySQL相关准备 3.1 创建MySQL数据库 (创建过程略) 3.2 新建user表,并增加2条记录 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- --------------------------

md5安全吗?有多么地不安全?如何才能安全地存储密码?... md5安全吗? 经过各种安全事件后,很多系统在存放密码的时候不会直接存放明文密码了,大都改成了存放了 md5 加密(hash)后的密码,可是这样真的安全吗? 这儿有个脚本来测试下MD5的速度, 测试结果: [root@f4d5945f1d7c tools]# php speed-of-md5.php Array ( [rounds] => 100 [times of a round] => 1000000 [avg] => 0

Don't Block the Event Loop (or the Worker Pool) | Node.js https://nodejs.org/en/docs/guides/dont-block-the-event-loop/ Don't Block the Event Loop (or the Worker Pool) Should you read this guide? If you're writing anything more complicated than a brie

目录 简介 event loop和worker pool event loop和worker pool中的queue 阻塞event loop event loop的时间复杂度 Event Loop中不推荐使用的Node.js核心模块 partitioning 或者 offloading V8引擎的限制 REDOS正则表达式DOS攻击 JSON DOS攻击 阻塞Worker Pool 总结 为什么我们不要在nodejs中阻塞event loop 简介 我们知道event loop是nodejs中

不要相信外部源 $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据库 远程api 来自客户端的数据 htmlentities 1 <?php 2 $input = '<p><script>alert("You won the Nigerian lottery!");</script></p>'; 3 echo h

PBKDF2 简单而言就是将salted hash进行多次重复计算,这个次数是可选择的.如果计算一次所需要的时间是1微秒,那么计算1百万次就需要1秒钟.假如攻击一个密码所需的rainbow table有1千万条,建立所对应的rainbow table所需要的时间就是115天.这个代价足以让大部分的攻击者忘而生畏 实现: DK = PBKDF2(P,S,c,dkLen) 可选项: RPF 基本伪随机函数(hLen表示伪随机函数输出的字节长度) 输入: P 口令,一字节串 S 盐值,字节串 salt