security 标签归档 | 土法炼钢兴趣小组的算法知识备份

对 CBC 模式的一些攻击

2025-10-30 | cryptography | #cryptography #aes #cbc #security #attack

我在超过10个土法炼钢项目里看到有问题 CBC 用法了。

Linux 提权原理和方法

2025-10-30 | security | #security #linux #privilege-escalation #penetration-testing #vulnerabilities

访问权限的行为。一般指利用安全缺陷绕过限定的访问限制，拿到更高的访问权限。

密码怎么存？

2025-10-30 | security | #security #password #hashing #cryptography #authentication

本文介绍怎么安全地把密码存储在数据库里。简短地说：去看 OWASP 规则。

XSS 攻防实践

2025-10-30 | security | #security #xss #web-security #penetration-testing #owasp

本以为 Web 技术发展那么久，XSS、SQL注入、CSRF 这类过去常见的漏洞已经被处理得很好了。最近工作发现并不是这样的，可能就是因为框架和工具把这些事情做得很好了，大家都忘记了这些漏洞的存在，及时使用了框架也没有把它们提供的漏洞预防功能使用起来。我觉得即使是今天，了解常见的安全漏洞类型也是必要的。

PKCE - OAuth2 的安全措施

2025-10-30 | authentication | #pkce #oauth2 #security #authentication #web-security

OAuth2 是现代 Web 应用的通用登录标准，使用 OAuth2 可以将用户系统从业务系统中抽离出来，实现单点登录(SSO)。如果你还不熟悉的话，建议你去看看：