logo
publist
写文章

简介

该用户还未填写简介

擅长的技术栈

可提供的服务

暂无可提供的服务

Java安全升级:从MD5迁移到SHA-256的完整实战指南

哈希算法是计算机安全与数据完整性的基石,它将任意长度的数据映射为固定长度的摘要,确保数据的唯一性和防篡改性。其核心原理在于抗碰撞性,即难以找到两个不同输入产生相同摘要。在密码学演进中,MD5曾因快速高效被广泛应用,但因其抗碰撞性被彻底攻破,已无法满足现代安全需求。对于Java开发者而言,理解哈希算法的技术价值至关重要,它直接关系到密码存储、文件校验、数字签名等核心应用场景的安全性。本文聚焦于Jav

一键复现APISIX CVE-2022-24112漏洞:Docker靶场与Python检测脚本详解

API网关作为现代微服务架构的核心组件,负责处理API流量路由、认证、限流与监控。其安全机制,特别是管理接口的认证与授权,是保障整个系统安全的关键防线。CVE-2022-24112漏洞揭示了Apache APISIX网关在批处理请求处理逻辑上的一个严重缺陷,攻击者可利用此漏洞绕过Admin API的认证,从而未授权执行创建路由、修改配置等高危操作。该漏洞的成因在于内部请求处理时错误地复用了用户可控

OpenClaw卸载指南:跨平台环境级劫持清理与防护

Node.js 环境劫持是一种隐蔽的开发工具安全风险,指第三方包通过篡改 PATH、覆盖 npm/pnpm 二进制、注入 Shell 配置等方式静默控制开发者命令行环境。其原理在于绕过常规包管理生命周期,直接干预系统级执行链,导致 node/npm/pnpm 命令行为异常甚至失效。该问题具备高技术危害性——不仅破坏本地开发一致性,更可能引发 CI/CD 故障、IDE 终端失灵等连锁工程事故。典型场

#npm
Python实战ARP欺骗:从协议原理到中间人攻击实现

地址解析协议(ARP)是局域网通信的基础,负责将IP地址映射为物理MAC地址。然而,由于ARP协议设计简单、缺乏身份验证机制,存在严重的安全缺陷。攻击者可以利用这一漏洞,通过发送伪造的ARP响应包,篡改目标主机的ARP缓存表,从而实现中间人攻击。这项技术的核心价值在于能够主动介入网络会话,将单向监听转变为双向流量分析与控制,在渗透测试中常用于会话劫持、流量嗅探和网络审计等场景。本文基于Scapy库

基于Python与ATT&CK框架的APT检测系统构建实战

在网络安全领域,高级持续性威胁(APT)检测是防御体系的核心挑战。传统基于签名的检测方法难以应对隐蔽、持久的定向攻击,因此行为分析成为关键。其原理在于通过监控系统进程、网络流量和日志中的异常模式,识别攻击链各阶段的战术、技术与程序(TTP)。这种技术价值在于能够实现更主动、智能的威胁狩猎,有效降低漏报率。应用场景广泛覆盖安全运营中心(SOC)的日常监控、事件响应与威胁情报分析。本文聚焦于利用Pyt

基于GitLab与SpringBoot特征的自动化资产发现与漏洞验证实践

在网络安全领域,资产发现与漏洞验证是构建主动防御体系的基础环节。其核心原理是通过对网络空间中的设备与服务进行特征识别与探测,快速定位潜在的攻击面。这项技术的价值在于能将海量无序的互联网资产转化为可管理、可评估的安全对象,显著提升安全运维与渗透测试的效率。典型的应用场景包括企业资产梳理、红蓝对抗演练以及SRC(安全应急响应中心)的漏洞众测。本文聚焦于针对GitLab代码管理平台与SpringBoot

Apache文件上传漏洞解析:绕过PHP执行限制的三种实战策略

文件上传是Web应用开发中的基础功能,其安全机制直接关系到服务器安全。Apache作为主流Web服务器,其文件解析机制决定了请求文件是被执行还是被显示。理解Apache的解析原理,特别是文件扩展名与处理器映射机制,对于构建安全的上传功能至关重要。Apache的多后缀解析特性允许服务器从右向左识别已配置的处理器后缀,这一设计初衷虽为支持多用途文件名,但在安全语境下可能成为风险点。从技术价值看,深入理

Python cryptography库实战:从Fernet到AES-GCM的文件加密方案

数据加密是信息安全的核心技术,通过特定算法将明文转换为密文,确保传输和存储过程中的机密性。其原理基于密码学中的对称与非对称加密体系,对称加密如AES使用相同密钥加解密,非对称加密如RSA则采用公钥私钥对。在Python生态中,cryptography库提供了生产级的安全实现,其价值在于封装了现代加密算法的最佳实践,降低了开发者误用的风险。该库支持AES-GCM等认证加密模式,能同时保障数据机密性和

Python实现XTEA加密算法:从Feistel结构到分组密码核心原理

对称加密是信息安全的基础,它使用同一密钥进行数据的加密与解密,保障了通信的机密性。其核心原理在于通过多轮迭代的混淆与扩散操作,将明文与密钥复杂地混合,使得密文难以被破解。在众多对称加密算法中,Feistel网络结构因其加解密流程对称、易于实现的特性,成为理解分组密码设计的关键模型。XTEA算法便是这一结构的经典代表,它设计简洁,代码量极少,却完整展现了分组加密的核心要素,如轮函数、密钥调度与循环移

Python实现国密SM4-EAX认证加密:从原理到完整代码实践

认证加密(AEAD)是现代密码学的核心概念,旨在同时保障数据的机密性与完整性。其基本原理是通过加密算法(如分组密码)确保数据保密,再结合消息认证码(MAC)验证数据未被篡改。EAX模式是一种经典的认证加密方案,它采用“先加密后认证”结构,基于CTR模式加密和OMAC认证,能有效防止常见的安全漏洞。在物联网安全通信、敏感数据存储等场景中,认证加密技术至关重要。国密SM4算法作为我国商用密码标准,其与

    共 52 条
  • 1
  • 2
  • 3
  • 6
  • 请选择