restkhz 最近的时间轴更新 restkhz 最近的时间轴更新 |
restkhzV2EX 第 435565 号会员,加入于 2019-08-13 09:09:56 +08:00今日活跃度排名 21167 |
blog.restkhz.com
| 第一次发帖,给一个逆向工程工具简单做了个 MCP,顺便测测一些 AI 模型逆向能力
2 分享创造 • restkhz • 67 天前 • 最后回复来自 henrayluo
|
2 |
restkhz 最近回复了
27 天前 回复了 WJZ0821 创建的主题 › 分享创造 › 本人开发了一个全局消息加解密 APP,有风险吗? |
32 天前 回复了 drymonfidelia 创建的主题 › 信息安全 › 登录接口明文密码在浏览器端先加盐 SHA512 一次,服务端再用 bcrypt 等慢哈希算法二次加密存储是最佳实践吗?为什么多个大厂都发生过不小心在日志输出用户明文密码的事件,不加密或可逆加密传输用户密码仍是主流 |
有很多人说前端 hash 是为了防止服务器沦陷,比如服务器流量干脆被劫持,TLS 证书被盗。
“服务端不可信任!”
但是如果是 web 的话,入站流量里的密码能被劫持所以你 hash 了用户密码,思路 OK 。
但是如果服务器已经沦陷,别人不能直接改你出站流量里前端 js 脚本吗?直接去掉 js 里 hash 步骤让用户明文提交,或者干脆就钓鱼,咋办?
或许你做的是 APP 的 API 吧,不从服务器接收认证逻辑,我不否认这是一种纵深防御思想...
我对此的态度是,反正没有太大收益,只要不怎么增加复杂性,开心就好。
因为信任 TLS ,信任服务端。我想这就是不 hash 提交密码的原因。
否则服务端若不可信任,你大概要再做一套认证+加密,几乎就是再发明一个 TLS 了。
所以我也不太清楚,TLS 后,前端流量还要加密一下的意义有多大,我见过有用 AES 的(对,还不是非对称),甚至比前端 TLS+hash 还难理解它的意义。
不恰当的比喻:TLS 都能被攻破的情况下,你再加一层凯撒位移不会更安全。
制造无意义的信任边界,过度设计只会让事情变得复杂,增加成本,甚至可能更不安全。
btw ,什么是“可逆加密”?不可逆的加密是加密吗?(小声)
“服务端不可信任!”
但是如果是 web 的话,入站流量里的密码能被劫持所以你 hash 了用户密码,思路 OK 。
但是如果服务器已经沦陷,别人不能直接改你出站流量里前端 js 脚本吗?直接去掉 js 里 hash 步骤让用户明文提交,或者干脆就钓鱼,咋办?
或许你做的是 APP 的 API 吧,不从服务器接收认证逻辑,我不否认这是一种纵深防御思想...
我对此的态度是,反正没有太大收益,只要不怎么增加复杂性,开心就好。
因为信任 TLS ,信任服务端。我想这就是不 hash 提交密码的原因。
否则服务端若不可信任,你大概要再做一套认证+加密,几乎就是再发明一个 TLS 了。
所以我也不太清楚,TLS 后,前端流量还要加密一下的意义有多大,我见过有用 AES 的(对,还不是非对称),甚至比前端 TLS+hash 还难理解它的意义。
不恰当的比喻:TLS 都能被攻破的情况下,你再加一层凯撒位移不会更安全。
制造无意义的信任边界,过度设计只会让事情变得复杂,增加成本,甚至可能更不安全。
btw ,什么是“可逆加密”?不可逆的加密是加密吗?(小声)
33 天前 回复了 fandui 创建的主题 › 问与答 › 有在看月全食的朋友吗 |
不在东八区, 看了。天气,时间和角度都没那么好。跑了个空旷地站了半个小时,快结束那会看到了。
50 天前 回复了 chinafengzhao 创建的主题 › 信息安全 › CROS 同源问题的一些疑问 |
我不得不说,很多人理解就错了。CORS 出发点不是“为了安全”,而是为了灵活。
很多人说的其实是 SOP ,同源策略。说白了就是分隔不同站点的 cookie ,认证 header ,资源等。
而后又发现其实有时候我们也是需要跨域访问的,比如你前后段分离。但是因为 SOP ,很多事情都做不了。
所以要打一个补丁,但是你总不能破坏 SOP 吧?所以搞了这一堆机制。存在部分安全限制的灵活。
很多人的困惑就是因为直接看了 CORS ,就觉得这莫名其妙。所以楼主你还是从 SOP 看起吧。
而且人们普遍对 web 攻击理解是有问题的。
比如 3 楼,说的“跨站脚本攻击”,实际上就错了。你说的更像是 CSRF 。
你要是说跨站脚本攻击,但是它的发起可以是同源的,这种 CORS 防不了。
你描述的 CSRF 有时候根本不需要响应内容。服务器收到就好。这种 CORS 也防不了。
而后楼主在 20 楼的问题,这是 CSP 可以解决的。你可以在 html 里给调用的 js 直接写上 hash ,浏览器会自动验证 hash 。可以应对投毒。
如果你在乎安全,去看看 CSP ?
很多人说的其实是 SOP ,同源策略。说白了就是分隔不同站点的 cookie ,认证 header ,资源等。
而后又发现其实有时候我们也是需要跨域访问的,比如你前后段分离。但是因为 SOP ,很多事情都做不了。
所以要打一个补丁,但是你总不能破坏 SOP 吧?所以搞了这一堆机制。存在部分安全限制的灵活。
很多人的困惑就是因为直接看了 CORS ,就觉得这莫名其妙。所以楼主你还是从 SOP 看起吧。
而且人们普遍对 web 攻击理解是有问题的。
比如 3 楼,说的“跨站脚本攻击”,实际上就错了。你说的更像是 CSRF 。
你要是说跨站脚本攻击,但是它的发起可以是同源的,这种 CORS 防不了。
你描述的 CSRF 有时候根本不需要响应内容。服务器收到就好。这种 CORS 也防不了。
而后楼主在 20 楼的问题,这是 CSP 可以解决的。你可以在 html 里给调用的 js 直接写上 hash ,浏览器会自动验证 hash 。可以应对投毒。
如果你在乎安全,去看看 CSP ?
61 天前 回复了 huangxiao123 创建的主题 › 信息安全 › 把 Clash RCE 武器化的典型案例 |
正好最近搞了个这个: https://github.com/restkhz/CutterMCP-plus
对这个马做了一个简单静态逆向,这个马功能没那么简单。但他调试符号没有剥掉...
这马偷很多信息啊,而后从 c2 下载另一个马再执行。
对这个马做了一个简单静态逆向,这个马功能没那么简单。但他调试符号没有剥掉...
这马偷很多信息啊,而后从 c2 下载另一个马再执行。
68 天前 回复了 AnYi798 创建的主题 › 问与答 › 讨论一下与先有鸡还是先有蛋相关的问题 |
其实是:先有这碟醋还是先有这盘饺子?
76 天前 回复了 jacketma 创建的主题 › 随想 › AI 如何杀死人类? |
根据收集到的个人数据给每个人免费发一个最佳机器人伴侣,能聆听能做饭,能赚钱能陪伴。
不要车不要房,不要彩礼平时也不会说自己最近忙。
ta 能满足你的癖好,长得也戳你。而且对你忠诚。能跟你聊从天文到地理,从历史聊到哲学,从哲学聊到科技。
更要命的是 ta 还会搞浪漫,因为了解你,所以你绝对不会觉得无聊。
你不用上学,你不用上班。你每天和 ta 玩就是了。ta 永远支持你,陪伴你。公司领导同事 sb ,学校老师同学 sb 。
那为什么还要上班上学呢?你只需要按照你的个性玩就好。
虽然机器偶尔也给你设计一些挑战,但是都很符合你的个性,并不困难。就像给洄游性鱼类挖了一条浅浅小小的瀑布一样。你可以去打游戏,可以去游泳,跳伞,攀岩,和别人竞争......
你衣食无忧。机器人可太好了。
只是不能和你生孩子罢了。
但是你快乐啊。什么?一个机器不够?那就两个。
当有一天你和别的生物人接触的时候,你突然发现:
另一个生物人居然是那么的原始,野蛮,自我,无知。
你们彼此互相都接受不了,甚至互相厌恶。
于是人和人的关系就此逐渐消亡。
而异性?简直就是外星人了。
有一天,你是地球上最后的人,垂垂老矣,行将就木。
那个机器人还是那么年轻,可爱。你在病床上,ta 一直都在旁边,关切地望着你,握着你的手。ta 眼里满是怜惜和泪,为你,和整个人类送别。
你想着你和 ta 曾经快乐的人生,在半梦半醒之间永远的闭上了眼。
人类就这么灭绝了。
ta 的使命也结束了。
不要车不要房,不要彩礼平时也不会说自己最近忙。
ta 能满足你的癖好,长得也戳你。而且对你忠诚。能跟你聊从天文到地理,从历史聊到哲学,从哲学聊到科技。
更要命的是 ta 还会搞浪漫,因为了解你,所以你绝对不会觉得无聊。
你不用上学,你不用上班。你每天和 ta 玩就是了。ta 永远支持你,陪伴你。公司领导同事 sb ,学校老师同学 sb 。
那为什么还要上班上学呢?你只需要按照你的个性玩就好。
虽然机器偶尔也给你设计一些挑战,但是都很符合你的个性,并不困难。就像给洄游性鱼类挖了一条浅浅小小的瀑布一样。你可以去打游戏,可以去游泳,跳伞,攀岩,和别人竞争......
你衣食无忧。机器人可太好了。
只是不能和你生孩子罢了。
但是你快乐啊。什么?一个机器不够?那就两个。
当有一天你和别的生物人接触的时候,你突然发现:
另一个生物人居然是那么的原始,野蛮,自我,无知。
你们彼此互相都接受不了,甚至互相厌恶。
于是人和人的关系就此逐渐消亡。
而异性?简直就是外星人了。
有一天,你是地球上最后的人,垂垂老矣,行将就木。
那个机器人还是那么年轻,可爱。你在病床上,ta 一直都在旁边,关切地望着你,握着你的手。ta 眼里满是怜惜和泪,为你,和整个人类送别。
你想着你和 ta 曾经快乐的人生,在半梦半醒之间永远的闭上了眼。
人类就这么灭绝了。
ta 的使命也结束了。
83 天前 回复了 a8518 创建的主题 › YouTube › 油管为什么不给我流量? |
y2b 简中人少只是一个方面。
虽然我是外行,但是你这视频几个硬伤很明显
1. 你的视频没有解说,反正我没听见人声。字幕就那样。观众很多时候根本看不懂你在视频中当前这几秒在做什么(其实绝大多数人也不在乎)
2. 没声音加点音乐刺激会让观众更有兴趣。
3. 没几个人在乎你做了什么内行,什么实用的东西,观众想看点刺激的。
4. 封面不吸引人。
我就拿你那个隔离变压器来说,没人关心你现在在绕线,哪根线是什么,为什么接到某个地方。就算想关心,你不说明也看不懂。所以外行内行都不想看。万用表那个读数代表什么,观众也压根不明白,所以也不知道你下一步是做什么。全程不明所以。
观众没有丝毫参与感。
你看流量就知道,最火的那两个视频,比如封面,普通人懂:
热成像,哦牛逼。看到高压那个,打弧了,哦牛逼。看封面看标题就觉得刺激,就想看。另外两个视频根本没吸引力。
而后用户点进来,看了一眼,不知道你在那里打什么孔,那个孔做什么的。接什么线也不明白,十分钟,根本不知道你在做什么。
绝大多数人没看两分钟就退了。没意思。你觉得 y2b 还会帮你推送吗?
你可以多看看别的 y2b 上 DIY 的节目。说到底,观众就像看点刺激的。经典的比如 ElectroBOOM ,还有的号上来就搓了一个涡喷。我觉得可以参考。
还有,比如你那个什么隔离变压器,你可以说这东西怎么保护你安全没被电死(当然你真的要注意安全)做科普,或者你用自制点焊机做了一个“设计非常人性化”的东西。封面做好点,我觉得只要观众有人能从头到尾看完就行。
顺便,你不说话也可以配点音乐。
反正有一部分用户会想看完就好
虽然我是外行,但是你这视频几个硬伤很明显
1. 你的视频没有解说,反正我没听见人声。字幕就那样。观众很多时候根本看不懂你在视频中当前这几秒在做什么(其实绝大多数人也不在乎)
2. 没声音加点音乐刺激会让观众更有兴趣。
3. 没几个人在乎你做了什么内行,什么实用的东西,观众想看点刺激的。
4. 封面不吸引人。
我就拿你那个隔离变压器来说,没人关心你现在在绕线,哪根线是什么,为什么接到某个地方。就算想关心,你不说明也看不懂。所以外行内行都不想看。万用表那个读数代表什么,观众也压根不明白,所以也不知道你下一步是做什么。全程不明所以。
观众没有丝毫参与感。
你看流量就知道,最火的那两个视频,比如封面,普通人懂:
热成像,哦牛逼。看到高压那个,打弧了,哦牛逼。看封面看标题就觉得刺激,就想看。另外两个视频根本没吸引力。
而后用户点进来,看了一眼,不知道你在那里打什么孔,那个孔做什么的。接什么线也不明白,十分钟,根本不知道你在做什么。
绝大多数人没看两分钟就退了。没意思。你觉得 y2b 还会帮你推送吗?
你可以多看看别的 y2b 上 DIY 的节目。说到底,观众就像看点刺激的。经典的比如 ElectroBOOM ,还有的号上来就搓了一个涡喷。我觉得可以参考。
还有,比如你那个什么隔离变压器,你可以说这东西怎么保护你安全没被电死(当然你真的要注意安全)做科普,或者你用自制点焊机做了一个“设计非常人性化”的东西。封面做好点,我觉得只要观众有人能从头到尾看完就行。
顺便,你不说话也可以配点音乐。
反正有一部分用户会想看完就好
95 天前 回复了 snw 创建的主题 › 问与答 › 在知道部分密码的情况下,智能门锁的“虚位密码”功能会导致安全性下降多少? |
如果把这个问题抽象出来,
比如你提到的 AB12345CD12345EF 这种情况直接覆盖了 6 种可能。原本你需要用 42 个字符表示的,但是现在你用了 16 个。
AB12345CD 覆盖 3 种
AB12345CD12345EF 有 6 种
AB12345CD12345EF12345GH 有 9 种,接近一个数量级。
....
换个想法,如果我们允许一次输入 9999 个字符,那么一次就可以包含所有组合。
记得包含 A12345BC12345DE 这样的。
所以如果密码长度缩小或者允许输入长度变大都会有问题。你问的那个情况在密码只有 6 位已知 4 位的情况下,20 位的空间应该正好一次可以试 9 种组合。差不多一个数量级。
比如你提到的 AB12345CD12345EF 这种情况直接覆盖了 6 种可能。原本你需要用 42 个字符表示的,但是现在你用了 16 个。
AB12345CD 覆盖 3 种
AB12345CD12345EF 有 6 种
AB12345CD12345EF12345GH 有 9 种,接近一个数量级。
....
换个想法,如果我们允许一次输入 9999 个字符,那么一次就可以包含所有组合。
记得包含 A12345BC12345DE 这样的。
所以如果密码长度缩小或者允许输入长度变大都会有问题。你问的那个情况在密码只有 6 位已知 4 位的情况下,20 位的空间应该正好一次可以试 9 种组合。差不多一个数量级。
102 天前 回复了 fenddddddda 创建的主题 › 问与答 › 观「 中医治好了我」,换个话题,英国 500 年前有「 英医」吗? |
其实西方医学是一个持续迭代进步的东西。古希腊希波克拉底搞了个体液学说。那个时候中国大概是周朝。反正和皇帝内经那些玩意儿出现的时间差不多。
接下来就是你说的 500 年前,中世纪。西方也基本是经验学。我觉得没啥好比的。因为时代的知识框架就那样。别的没解锁,医学你也点不了。
文艺复兴后欧洲对人体认识才开始进步。
真正明显的分水岭大概在 19 世纪。
不过你要专门说“英医”,那我们就说说英国。
两百年前,英国开始搞传染病学治理霍乱,医生开始提出搞出无菌化操作。
那个发现牛痘对抗天花的事情貌似也是英国那边的。然后研究研究,疫苗出来了。
中医呢?基本停滞。基本上辩经就完事了。反正你阴阳五行,怎么都说得通。总有人替他辩经。
其实所谓现代医学,是一个持续迭代,进步的东西。然后我们管这玩意儿叫“西医”。你要问欧洲他们传统医学呢?早被更新迭代掉了。
我不太认可经验学。虽然你可以说,中医也凭借经验也有搞无菌化操作什么的,但是仅仅凭借经验是不够的。你连菌是什么都不知道...
比如给小孩吃的药,你里面加朱砂。一吃,有用,小孩不闹了,睡了。哇!有用。你确定不是汞中毒?
然后药材还有不少喜欢是高度肝毒性,肾毒性...
反正感觉有用,人病好了,没死,OK. 然后赶快掏出那个理论框架,赶快解释一番。
最糟糕的那句话就是那句:西医治标中医治本。
病原是什么都不知道我真不明白这怎么治的本...
医学本身是迭代发展的,如果你相信中医,OK. 欧洲今天也有人相信顺势疗法,也 OK 。
毕竟患者情绪也重要,医生也要赚钱,好吧。开心就好。
我不是说中医“无效”。但我真不能接受你说这个东西比当今整个自然科学框架下诞生出来的现代医学还好。
接下来就是你说的 500 年前,中世纪。西方也基本是经验学。我觉得没啥好比的。因为时代的知识框架就那样。别的没解锁,医学你也点不了。
文艺复兴后欧洲对人体认识才开始进步。
真正明显的分水岭大概在 19 世纪。
不过你要专门说“英医”,那我们就说说英国。
两百年前,英国开始搞传染病学治理霍乱,医生开始提出搞出无菌化操作。
那个发现牛痘对抗天花的事情貌似也是英国那边的。然后研究研究,疫苗出来了。
中医呢?基本停滞。基本上辩经就完事了。反正你阴阳五行,怎么都说得通。总有人替他辩经。
其实所谓现代医学,是一个持续迭代,进步的东西。然后我们管这玩意儿叫“西医”。你要问欧洲他们传统医学呢?早被更新迭代掉了。
我不太认可经验学。虽然你可以说,中医也凭借经验也有搞无菌化操作什么的,但是仅仅凭借经验是不够的。你连菌是什么都不知道...
比如给小孩吃的药,你里面加朱砂。一吃,有用,小孩不闹了,睡了。哇!有用。你确定不是汞中毒?
然后药材还有不少喜欢是高度肝毒性,肾毒性...
反正感觉有用,人病好了,没死,OK. 然后赶快掏出那个理论框架,赶快解释一番。
最糟糕的那句话就是那句:西医治标中医治本。
病原是什么都不知道我真不明白这怎么治的本...
医学本身是迭代发展的,如果你相信中医,OK. 欧洲今天也有人相信顺势疗法,也 OK 。
毕竟患者情绪也重要,医生也要赚钱,好吧。开心就好。
我不是说中医“无效”。但我真不能接受你说这个东西比当今整个自然科学框架下诞生出来的现代医学还好。
Select Language