SF
安全基
安全基
注册登录
关注博客
注册登录
主页
关于
RSS
密码学-基础概念
乘着风
2021-11-18
阅读 1 分钟
1.7k
同态加密(英语:Homomorphic encryption)是一种加密形式,它允许人们对密文进行特定形式的代数运算得到仍然是加密的结果,将其解密所得到的结果与对明文进行同样的运算结果一样。换言之,这项技术令人们可以在加密的数据中进行诸如检索、比较等操作,得出正确的结果,而在整个处理过程中无需对数据进行解密。其意义在...
Linux权限管理漫谈之用户切换
乘着风
2021-02-12
阅读 3 分钟
5.4k
Linux中文件有细致的权限控制,许多操作只有文件的拥有者或root才能执行,所以在日常使用过程中,需要进行用户切换。Linux设计之初,提供了 su 命令用于用户的切换,但由于 su 命令粗粒度的控制方式,不符合权限最小化原则,后来(其实很早,在1980年代)又设计了sudo命令提供精细化的权限控制。su和sudo虽然可以切换到...
Linux权限管理漫谈之基本权限
乘着风
2021-02-10
阅读 3 分钟
3.6k
Linux文件(包括目录)通过相对权限进行管理,这里的相对是指相对文件所有者,权限分为文件所有者权限(user),所有者同组用户权限(group)和其他用户权限(other),通过 ll 命令可以查看用户对文件的操作权限,权限分为r:读权限,w:写权限,x:执行权限。如:通过 ll 命令显示文件的权限为:-rwxr-xr,为便于说明...
网络安全相关概念整理
乘着风
2020-10-28
阅读 6 分钟
5.5k
公共漏洞和暴露Common Vulnerabilities and Exposures,CVE)又称常见漏洞与披露,是一个与信息安全有关的数据库,收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。此数据库现由美国非营利组织MITRE所属的National Cybersecurity FFRDC所营运维护 。
[转]SGX 侧信道攻击综述
乘着风
2020-10-27
阅读 14 分钟
2.9k
Intel SGX 技术是一种新的基于硬件的可信计算技术。该技术通过CPU的安全扩展,对用户空间运行环境(enclave)提供机密性和完整性保护。即使是攻击者获得OS,hypervisor,BIOS 和SMM 等权限,也无法直接攻击enclave。因此,攻击者不得不通过侧信道的攻击方法来间接获取数据(比如隐私数据,加密密钥等等)。得益于enclave...
TEE可信执行环境技术简介
乘着风
2020-10-27
阅读 3 分钟
11.8k
随着软件技术的发展,操作系统的功能越来越丰富,Linux操作系统内核功能和代码量呈爆炸式增长,智能手机APP数量指数级增长,人们在享受智能手机带来的便捷的同时,隐私保护和数据安全问题也日益严峻。但由于操作系统的复杂性、安全漏洞、安全机制容易被绕过、应用程序间的弱隔离性、操作系统对APP的控制能力等脆弱性设计...
[转]AI安全典型攻击与防御
乘着风
2020-10-27
阅读 5 分钟
8k
随着机器学习方法与系统的持续创新与演进,诸如图像识别、语音识别、自然语言翻译等人工智能技术得到普遍部署和广泛应用,人工智能正朝着历史性时刻迈进。AI自身的安全性变得前所未有的重要,极需要构建一个不会被外界干扰而影响判断的健壮AI系统。
CSRF攻击原理和防范措施
乘着风
2020-09-17
阅读 3 分钟
12.8k
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
OpenID Connect简介
乘着风
2020-09-08
阅读 5 分钟
10.4k
首先介绍几个易混淆的概念。认证与授权认证(Authentication):通过认证以确定用户身份,认证可以理解为用户登录过程。授权(Authorization):给用户分配可权限,以确定用户可访问的资源范围。授权的前提是要确认用户身份,即先认证,再授权。
手工方式执行OAuth2.0流程
乘着风
2020-09-04
阅读 2 分钟
3.2k
本示例使用授权代码模式(Authorization code),以GitHub提供的OAuth2.0授权服务来进行试验。你必须先有一个GitHub账号,而且没有被墙,试验的步骤如下:
OAuth 2.0认证框架介绍
乘着风
2020-09-03
阅读 10 分钟
5.3k
关于应用系统用户身份管理需求,包括身份认证、权限授权、单点登录、联合身份认证等业务场景,业界有一堆的标准和规范,比如单点登录的CAS、Kerberos,第三方身份认证OpenID,第三方用户授权OAuth,联合身份认证和授权数据标准SAML等。每种技术有各自的应用场景,也存在交叉场景,想要把他们搞清楚,需要了解各种技术的...
XSS跨站点脚漏洞介绍及防御方法
乘着风
2020-08-28
阅读 3 分钟
3.9k
XSS(Cross Site Scripting)跨站点脚本是一种代码注入攻击,攻击者利用Web站点的代码漏洞,在用户访问的网页时运行植入的恶意JS脚本,从而影响用户访问或窃取用户信息。