在攻击者提供的缓冲区上使用哪些解压缩算法是安全的？

文章/答案/技术大牛

发布

1回答

compression、gzip、bzip2、libz

我想通过使用压缩来节省网络带宽，比如bzip2或gzip。是否有字节序列会导致一些解压缩函数陷入无限循环，或者占用大量内存？那么，这是这些算法的一个基本属性，还是仅仅是一个实现错误？

浏览 13提问于2021-05-15得票数 0

回答已采纳

1回答

在C++中，设置与其本身相等的变量是否实际执行？

c++、algorithm、gcc、mutex、variable-assignment

我正在创建遗忘的图形算法，这基本上隐藏了一个算法的内存访问模式。假定内存是加密的，但攻击者可以监视该内存。处理器被假定在云中，是安全的，并且有自己的缓存。虚拟工作必须在图形本身上，否则攻击者将能够跟踪哪些工作是真实的，哪些工作是假的。当然，添加虚拟工作会造

浏览 2提问于2016-06-16得票数 1

回答已采纳

1回答

GZIP解压缩是如何在块中工作的？

java、compression、gzip

我正在使用GZIP压缩来压缩文件。考虑一下解压缩的代码片段。) > 0) { } out.close();请澄清以下几点

浏览 2提问于2016-06-26得票数 1

1回答

乌查德:目前密码存储的最佳方法是什么？

asp.net、security、passwords、orchardcms

在另一个客户最近被黑客入侵，用户数据被泄露(为了记录:我们没有开发他们的网站)之后，我们希望为我们现有的和新的客户提供最佳的安全保障。这并不意味着最好的安全，我们只是想使网站足够安全，无论在网站中可以找到的任何数据都不值得攻击者为获得它所做的努力。由于我们只有一个小的成员池为这个网站，我怀疑它是有吸引力的开始，但考虑到最近的事件

浏览 2提问于2013-11-12得票数 3

回答已采纳

2回答

如何安全地加密和解密服务器和客户端PC之间的文件

aes、pgp、file-encryption、openpgp

选项1:pgp我的第一个想法是使用pgp，现在如果我在服务器上安全地存储一个私有和公共密钥，那么所有用户文件都可以很容易地在服务器上使用用户密码输入。Question1:如果编译了我的桌面应用程序，攻击者就可以解压缩应用程序并获取私钥，是否有办法在编译后的程序中安全地存储数据以防止这种破坏。Option2: AES我认为另一种方法是</e

浏览 0提问于2016-08-20得票数 -1

回答已采纳

3回答

CVE-2016-2324允许远程代码执行吗？

linux、c、cve、aslr、dep

elem, p->elem_len); } return n;是否会出现系统在保持远程代码执行路径完全关闭 时发生溢出的情况？git数据库( git树)中精心编制的路径应该包含用于执行远程代码执行的二进制代码。但是，路径不能包含nul字节(因为它被用作git树中的分隔符)。如果需要具体案例，则为Ubuntu，linux版本<3.16，

浏览 0提问于2016-02-25得票数 5

1回答

更容易发生冲突的密码散列是否能提供更好的整体安全性？

passwords、hash、brute-force

网站安全漏洞似乎是司空见惯的事，攻击者可以通过密码哈希对其进行暴力攻击，通常会给他一个密码列表，因为用户通常重复使用密码，所以在其他网站上可以使用密码。它是否会通过使哈希算法稍微变弱和更容易发生冲突来提高整体安全性，那么即使攻击者强行强制密码在被黑客攻击的站点上工作，它也不太可能在任何其他站点上工作？因此，例如，如果某些哈希算法比其他哈希算法更容易发生冲突，则攻击者</em

浏览 0提问于2013-05-02得票数 5

1回答

缓冲区溢出攻击和ROP攻击有什么区别？

security、assembly、buffer-overflow、exploit

我开始研究软件安全，我很难弄清楚缓冲区溢出攻击和ROP攻击是什么。据我所知，我觉得这两种方法都只是提供了过多的投入来覆盖不应该被接近<

浏览 1提问于2019-06-08得票数 5

回答已采纳

1回答

为什么要在服务器上验证Play Store的购买？

android、in-app-purchase、in-app-billing

app购买文档中的Android表示，要在服务器上而不是在设备上验证购买，因为否则攻击者就可以解压缩应用程序并自动验证购买情况。那么，在服务器上验证有什么帮助呢？我会用伪码来说明。下面是带有设备验证的场景1。(data){ return true; }public boolean verify(data) { return verify(

浏览 1提问于2017-09-14得票数 1

回答已采纳

1回答

如果公开加密的文本，安全性有多大？

encryption

我知道，如果加密算法和密码都是安全的，则被认为是安全的。但是，如果攻击者知道只能使用许多算法，怎么办？在这种情况下有多安全？在源代码管理中包含加密文本是否是错误的做法？

浏览 0提问于2015-08-14得票数 1

1回答

Soundex和加密:好朋友？

encryption、aes、algorithm

我们正在考虑使用Soundex算法来提高我们在应用程序中的搜索能力。我们的应用程序数据在DB中被加密。(EAS256) Soundex结果将存储在我们加密数据的旁边。事实上，Soundex的计算将在加密的同时进行。我想知道Soundex输出是否会给我们的应用程序增加任何安全漏洞。这是否意味着利用Soundex值和密码数据，攻击者有机会计算原始值

浏览 0提问于2022-03-09得票数 0

回答已采纳

1回答

尝试登录时暴露的用户名？

webauthn、fido

我正在尝试扩展我的应用程序以支持WebAuthn登录。到目前为止，我已经成功地在我的本地服务器上设置了一个测试应用程序(使用这个实现)。我想我现在基本上理解了这个过程，但我有一个安全问题:当您使用WebAuthn作为唯一的身份验证因素时(这应该是可能的)，用户只输入他想要的用户名，并通过指纹或他的YubiKey或其他东西提供他的凭据。在此图()中

浏览 3提问于2019-10-27得票数 2

2回答

TOTP密码有多安全？

cryptography、one-time-password、totp

我想知道TOTP密码的安全性。攻击者在SSO通过HTTP的目标网络上使用用户:Pwd:TOTP嗅探creds。经过一段时间后，攻击者可以通过查看每个TOTP代码产生哪些秘密并缩小结果来合理地猜测TOTP秘密是什么？

浏览 0提问于2016-10-13得票数 1

2回答

单一密码与密码和用户名

login

与单一密码登录相比，密码和用户名提供了哪些安全优势？如果用户名必须是唯一的，则其他用户不能拥有该用户名，并且可以将用户映射到具有该id的用户帐户。当攻击者对用户名和密码进行暴力破解时，这与攻击者对单个密码进行暴力破解是相同的。但是，使用单一密码，攻击者可以尝试使用相同的密码暴力访问所有帐户。登录到应用程序后，您的会话将

浏览 2提问于2011-11-01得票数 3

回答已采纳

1回答

md5文件名可能存在的安全问题

encryption、aes、file-encryption、md5

我一直在使用文件的md5哈希文件名来存储文件。这允许我不存储同一文件的副本，并避免任何文件名冲突。每个文件都使用不同的salt/iv。我想开始加密文件应用程序端的内容(使用OpenSSL PKCS5)，但是，通过获取加密文件的md5，我失去了md5文件名的上述优点。假设文件存储被破坏，加密文件和未加密文件的md5的组合会不会成为潜在的安全</em

浏览 0提问于2018-11-28得票数 2

回答已采纳

1回答

是否能够执行GSGL (OpenGL Shader )远程代码执行？

security

我想知道执行用户/攻击者提供的GSGL文件是否是一个安全漏洞。我想知道，从安全性的角度来说，您可以在OpenGL中在iOS设备上执行一个。我不知道攻击者如何使用GSGL，所以演示一下如何使用也很好。

浏览 0提问于2019-06-13得票数 0

回答已采纳

2回答

在令牌中实现密码算法的目的是什么？

secure-storage、pkcs11

尤其是在PKCS #11中，网络上的信息不多，我找到了这种解释。我忽略了“高度安全”和“集中和安全管理”等空洞的营销言论，设法获得了以下好处：秘密使用情况的防篡改审计。为了使用秘密，用户需要将该秘密上传到具有用户界面(UI)的程序中。例如，银行应用程序。由于令牌没有足够的UI，此程序无法在令牌上执行。因此，此程序将在附加令牌

浏览 0提问于2021-02-02得票数 3

2回答

对称与非对称自加密

encryption、elliptic-curves、cryptanalysis、symmetric

我可以使用对称加密算法(如AES )或非对称加密算法(如RSA或ECC )加密我的文件(我用自己的公钥加密文件)。在此场景中不涉及通信。后者，人们可以称之为非对称自加密，在不需要密钥交换的情况下，似乎是一个不寻常的选择。但是，它仍然有一些优点:您不需要键入密码以进行加密(您需要您的公钥)；它可以很好地处理存储在硬件令牌中的密钥；而且，攻击者显然需要同时拥有公钥和暴

浏览 0提问于2020-03-15得票数 1

2回答

密码学--对字节数组中的一些位很好吗？

encryption、cryptography、xor、bitmask

我现在告诉自己很多关于加密的事情。我想知道，在加密字节数组中的已知位置切换一些位(异或和位掩码)，并在解密它们之前再次切换它们是否会更好。因为即使你知道算法和密钥，也不可能在不知道在哪里切换比特的情况下对它们进行解密，不是吗？

浏览 2提问于2014-01-19得票数 0

回答已采纳

3回答

保护私钥，防止对移动设备的暴力攻击

security、mobile、cryptography、brute-force

我有一个移动应用程序，我希望在其中安全地存储私钥。安全性要求意味着，即使攻击者能够无限地访问移动设备，也很难获得私钥。为了实现这一级别的安全性，应用程序使用对称加密技术，其密钥来自用户指定的密码短语和特定于设备的salt。例如，如果私钥是RSA私钥，攻击者将尝试各种密码和测试组合，以确定是否可以将结果明文用作有效的RSA私钥。由于RSA私钥必须以某种方式编码某些信息，如果解密失败，RSA引擎将发出密钥无效的<

浏览 3提问于2009-12-11得票数 10

点击加载更多