瀏覽分類:

資訊安全

大學選課系統自動填入驗證碼

大學生涯最後一次搶課結束了,來分享一下歷年搶課的技巧:)

自動填入學號、密碼這個瀏覽器的通常都有選項可以幫我們記憶

所以今天的主題是驗證碼的部份,如何自動填入驗證碼

 

我們學校的選課登入頁長這樣,以前是沒有驗證碼需要填的

但我印象從106學年度起,學校可能是為了舒緩伺服器瞬間的高流量

用驗證碼這種方式來卡一部份的人潮降低伺服器的負載 (什麼歪理,為什麼不升級伺服器配備 ((怒~

沒關係,道高一尺魔高一丈,搶課的時間分秒必爭,我們總得想個辦法秒殺掉驗證碼

於是經過百般研究這個登入頁面後,終於發現驗證碼圖示旁邊的語音播放按鈕藏有玄機


閱讀更多

密碼的加密模式(ECB CBC CFB OFB CTR)

使用金鑰進行對稱式加密時,要加密的明文長度通常都會遠大於金鑰長度

所以為了讓加密的演算法可以使用在各種不同長度的訊息上

加密的演算法會將明文或密文切割成區塊來依序進行處理

而這個區塊的大小,會剛好是金鑰的長度(扣掉檢查碼等等的)

有關對稱式加密的演算法如何依序處理這些區塊,又分成5種區塊加密模式
 

閱讀更多

一次性密碼本:窮舉也破解不了的密碼

前幾天看密碼學的書介紹了一次性密碼本,覺得很有意思

世界上絕大部份的密碼,只要使用暴力破解法去嘗試所有的排列組合

一定會有被猜中的一天(假如今天存在一台運算速度極快的電腦)

可是一次性密碼本特別之處就在於就算嘗試所有的排列組合

也無法確認哪組是正確的解密結果

 
一次性密碼本的特性:

  • 顧名思義是一次性使用,使用後必須銷毀
  • 密碼必須是真隨機數組成的(True Random Number)
  • 密碼與明文必須等長

 
閱讀更多

以公開的方式交換資訊生成對稱式金鑰

最近讀的密碼學的書裡面介紹了Diffie–Hellman Key Exchange,覺得很有趣,紀錄一下

 

使用情節

小明想與小華想利用對稱式加密建立加密連線

可是不管是任何一方先產生金鑰再傳送給另外一方都有被第三方監聽的風險

這時,Diffie–Hellman Key Exchange就派上用場了

Diffie–Hellman Key Exchange用於當溝通的雙方處於不安全連線(被第三方監聽)下

仍能交換資訊生成對稱式金鑰建立加密連線

閱讀更多

[實戰] ARP欺騙、用劫持的Session登入

聲明
所有過程僅止於學術研究,並全程保密受測方。
測試結束後即知會受測方,且立即登出該帳號,絕無不法之使用。

 

上課時老師們總是會去學校的線上教學平台下載ppt,但每次看老師使用都很納悶

登入時都還是https有加密

登入後怎麼又變回http了@@

多逛幾個學校不同的網站,發現好像只有登入時才有SSL/TLS協議加密,這…安全性可靠嗎…

每次上課都困惑一次,終於在今天好奇心大爆發

想在課堂上試試看能不能用劫持session的方式直接騙過server登入
(因為登入是https,有經過SSL/TLS協議加密)

於是我就默默boot up usb裡的Kali Linux,開啟Ettercap


閱讀更多