好友
阅读权限10
听众
最后登录1970-1-1
|
现在晚上流传了很多软件验证源码,RSA的不少,但我看了很多都感觉不尽人意,比如从X站上下的一套易语言开源软件验证源码,标明RSA,内部做工还算靠谱,接着一串网址亮瞎了吾眼,再仔细一分析,这程序居然用百度做时间同步源???!!!直接抓包改包秒变永久使用 这软件验证也写的太不靠谱了吧
于是,我运用现有知识,给大家整理出来这篇文章
一.对于RSA证书
对于RSA证书,建议使用X.509格式而不是自己编纂一个(少造轮子),以及,扩展密钥用途必须包含"客户端身份验证"(方便日后通过客户端认证访问其他服务器),以及加入CRL验证备用
二.对于时间戳的验证
时间戳验证不采用任何不被信任的措施,而是使用第三方CA机构的TSA服务器颁发当前时间.客户端通过一个主题为一串随机字符串的CSR发送到第三方CA机构的TSA服务器上.由TSA服务器签名后返回客户端,客户端验证证书有效后取出其中签名的时间
破解思路:
替换掉软件里面的信任证书/修改内存达到破解的目的
今天就发这篇文章,好了继续溜 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-4-16 19:00
|
发表于 2020-4-16 20:57
