Web安全

1998年12月25日，一位化名"Rain Forest Puppy"的安全研究员Jeff Forristal在黑客杂志《Phrack》上发表了一篇关于MS SQL Server 6.5漏洞的文章。他没有意识到，自己正在记录一种将困扰互联网四分之一个世纪的安全威胁——SQL注入。 ...

2019年3月，一名安全研究员发现了一个令人不安的事实：在全球排名前100万的网站中，部署了CSP的网站仅有4.6%，而其中超过一半的策略可以被轻易绕过。这项由Google安全团队主导的研究揭示了一个残酷的真相——这个被设计为XSS攻击"终结者"的安全机制，在实践中正变得形同虚设。 ...

2017年4月，安全研究员Xudong Zheng注册了一个特殊的域名。当他在Chrome浏览器地址栏输入这个域名时，显示的是"apple.com"——苹果公司的官方网址。但这个域名实际上与苹果公司毫无关系，它使用的是西里尔字母而非拉丁字母。整个互联网社区为之震惊：我们赖以信任的浏览器地址栏，竟然可以被一个字母欺骗。 ...

2018年8月，PortSwigger安全研究员James Kettle在Black Hat USA上展示了一项研究成果。他通过一个精心构造的HTTP请求，成功控制了Firefox浏览器的更新系统——理论上可以影响数千万用户。攻击方式简单到令人不安：发送一个带有恶意X-Forwarded-Host头的请求，缓存在此基础上存储了一个指向攻击者服务器的响应，随后所有请求更新的Firefox用户都会被重定向到攻击者控制的服务器。 ...

2024年12月24日，圣诞节前夜，网络安全公司Cyberhaven的一名员工收到了一封看似来自Google Support的邮件。邮件警告说，公司的Chrome扩展违反了政策，面临被下架的风险。这名员工点击了邮件中的链接，在看似合法的Google OAuth页面上授权了一个名为"Privacy Policy Extension"的应用。 ...

title: “密码存储为何从MD5走向Argon2——一场持续六十年的攻防博弈” date: “2026-03-06T08:45:20+08:00” description: “从1960年代MIT CTSS系统的首次密码泄露，到1979年Morris和Thompson发明salt机制，再到1999年bcrypt、2009年scrypt、2015年Argon2的相继问世，系统梳理密码存储技术六十年的攻防演进。深入分析彩虹表攻击的原理与防御、内存硬函数的设计哲学、GPU/FPGA破解技术的威胁演变，以及OWASP与NIST最新的参数配置建议。” draft: false categories: [“密码学”, “信息安全”, “Web安全”] tags: [“密码存储”, “bcrypt”, “scrypt”, “Argon2”, “PBKDF2”, “彩虹表”, “内存硬函数”, “密码哈希”, “GPU破解”, “salt”] 1962年，MIT的CTSS（Compatible Time-Sharing System）发生了一件小事：博士候选人Allan Scherr为了获得更多CPU时间，找到了一种方法打印出系统中所有用户的密码文件。这是历史上首次有记录的密码泄露事件，虽然影响范围有限，却暴露了一个根本性问题——当密码以明文存储时，任何获得数据库访问权限的人都能直接读取所有用户的凭证。 ...

2015年5月，JSON Web Token（JWT）作为RFC 7519正式发布。这个看似简单的标准——用三个Base64编码的部分表示用户身份——在随后的十年里席卷了整个Web开发领域。从单页应用到微服务架构，从移动App到物联网设备，JWT几乎成了现代认证的同义词。 ...