PGP的工作原理详解

 前言

最近在浏览博客的时候发现博主的 PGP Key 页面，虽然之前知道是用于邮件通信加密的，但是具体原理及使用却不太清楚，所以找了时间查阅了相关资料，整理一下 PGP 加密的一些内容。
PGP 定义

Pretty Good Privacy（PGP）是一个加密程序，为数据通信提供加密隐私和身份验证。PGP 用于对文本、电子邮件、文件、目录和整个磁盘分区进行签名、加密和解密，并提高电子邮件通信的安全性。PGP 加密使用散列，数据压缩，对称密钥加密，最后是公钥加密的串行组合。其中最关键的是两种形式的加密的组合：对称密钥加密(Symmetric Cryptography)和非对称密钥加密(Asymmetric cryptography)。
PGP 工作原理

在实现 PGP 加密的过程中，首先使用对称密钥加密算法对原始数据进行加密。对称密钥加密算法包括 DES、AES、Blowfish 等，这些算法能够快速地加密和解密数据，但是需要发送方和接收方之间共享密钥。

为了避免在网络上传输密钥，PGP 使用了公钥加密算法。公钥加密算法是一种使用不同的密钥加密和解密的算法，其中公钥用于加密，而私钥用于解密。公钥加密算法包括 RSA、DSA 等，这些算法具有极高的安全性，但是加密和解密速度比对称密钥加密算法慢得多。

PGP 将对称密钥加密，并使用接收方的公钥进行加密。这种方式可以保证密钥的安全性，同时可以确保只有接收方可以解密对称密钥，从而保护了数据的机密性。接收方使用自己的私钥对加密的对称密钥进行解密，然后使用对称密钥对数据进行解密。这种方式既可以保护数据的安全性，也可以提高加解密的速度。

PGP 使用两种类型的加密算法来保护数据：对称密钥加密和公钥加密。对称密钥加密是一种使用相同密钥加密和解密的算法，因此在加密和解密之间需要共享密钥。而公钥加密则是一种使用不同的密钥加密和解密的算法，其中公钥用于加密，而私钥用于解密。下面我将简单介绍一下这两种算法的工作原理。
对称密钥加密

对称密钥加密是一种使用相同密钥加密和解密的算法，因此在加密和解密之间需要共享密钥。对称密钥加密的过程如下：

    发送方选择一个加密密钥，并使用它将原始数据加密。
    加密后的数据被发送到接收方。
    接收方使用相同的密钥将加密的数据解密。

尽管对称密钥加密非常高效，但它有一个明显的缺点，即需要在发送方和接收方之间共享密钥。如果这个密钥被黑客或其他人获取，数据将无法得到保护。为了解决这个问题，PGP 使用了另一种加密算法：公钥加密。
公钥加密

公钥加密是一种使用不同的密钥加密和解密的算法，其中公钥用于加密，而私钥用于解密。公钥加密的过程如下：

    发送方获取接收方的公钥，并使用它将对称密钥加密。
    加密后的对称密钥和加密后的数据被发送到接收方。
    接收方使用自己的私钥将加密的对称密钥解密。
    接收方使用解密后的对称密钥将加密的数据解密。

公钥加密允许发送方使用接收方的公钥加密数据，而无需共享对称密钥。这样，即使黑客获得了加密后的数据，也无法使用它，因为他们没有接收方的私钥来解密对称密钥。
PGP 示例

我用常用的加密电子邮件来举个例子，具体的工作流程是：

用户 A 要给用户 B 发送邮件。

    用户 B 生成一对密钥（公钥和私钥），将公钥发送给用户 A。
    PGP 软件使用算法生成一个随机的会话密钥，这个密钥是一个很大的数字，而且只使用一次。
    用户 A 用刚刚生成的密钥，加密邮件，并使用用户 B 的公钥对该密钥进行加密。
    最后，用户 A 将加密的邮件及密钥发送给用户 B，用户 B 使用自己的私钥进行解密，得到会话密钥，进而可以解密完整的邮件。

PGP 加密用途

PGP 有三个主要用途：

    发送和接收加密电子邮件。
    验证向您发送此消息的人员的身份，即数字签名验证。
    加密数据。

其中，发送安全电子邮件 - 是迄今为止 PGP 的主要应用。数字签名是一种基于公钥加密的技术，用于证明信息的发送者身份和信息完整性，以及防止信息被篡改。发送方使用自己的私钥对消息的摘要进行加密，生成数字签名。接收方使用发送方的公钥对数字签名进行解密，并生成消息的摘要，比对两个摘要是否一致，来验证消息的完整性和身份。如果数字签名验证失败，则说明消息可能被篡改或者来自伪造的发送方。
总结

PGP 使用对称密钥加密算法保护数据机密性，使用公钥加密算法保护对称密钥的安全性，使用数字签名技术验证消息的完整性和身份。这种结合了对称密钥和公钥加密的方法，可以在安全性和效率之间取得平衡。PGP 已经成为一种被广泛应用的数据加密和数字签名的标准，保护了用户的隐私和安全。

Reference:

Pretty Good Privacy - Wikipedia

What is PGP Encryption and How Does It Work? | Varonis

Public Key Cryptography Simply Explained | Hacker Noon

Echo 是一个专注于隐私、安全和极简体验的匿名即时通讯 Web app

一个专注于隐私、安全和极简体验的匿名即时通讯 Web 应用。 

Echo (v0.6) - 匿名安全即时通讯应用

Echo 是一个专注于隐私、安全和极简体验的匿名即时通讯 Web 应用。无需复杂的注册流程，生成唯一 ID 即可开启端到端加密的私密对话。

✨ 主要特性 (Features)

🔒 安全与隐私

• 端到端加密 (E2EE): 采用 Web Crypto API 实现高强度端到端加密，服务器无法解密查看消息内容，确保通信绝对安全。
• 阅后即焚: 支持自定义消息销毁时间（15秒/60秒/300秒），消息在倒计时结束后自动从双方设备清除。
• 匿名机制: 仅需昵称即可注册，系统自动生成 6 位唯一识别码 (UID)，无需手机号或邮箱，保护用户身份。
• 无痕通信: 消息仅在内存中转发，服务器不持久化存储任何聊天记录。
• 自动清理: 24小时未活跃账号自动清理，过期数据定期物理删除。

💬 聊天体验

• 随机匹配: 一键寻找在线的有缘人，开启未知的对话旅程。
• 定向连接: 通过 6 位 UID 精准查找并添加好友，支持发送聊天申请。
• 实时通讯: 基于 WebSocket (Socket.IO) 的低延迟即时通讯体验。
• 图片分享: 支持发送图片（基于 SM.MS 图床），具备自动清理和防盗链机制。
• 敏感词过滤: 内置违规词过滤系统，维护文明的交流环境。

🎨 界面与交互

• 极简设计: 现代化、类 Apple 风格的 UI 设计，清爽无广告。
• 响应式布局: 完美适配桌面端和移动端设备，随时随地畅聊。
• 实时状态: 实时显示在线人数、对方输入状态及加密连接状态。

🛠️ 技术栈 (Tech Stack)

• 后端: Python 3.8+, Flask, Flask-SocketIO
• 前端: HTML5, CSS3, Native JavaScript (ES6+)
• 数据库: SQLite (轻量级用户管理)
• 实时通信: Socket.IO, Eventlet
• 加密算法: ECDH (密钥交换) + AES-GCM (消息加密)
• 图片存储: SM.MS API

🚀 快速开始 (Getting Started)

环境要求

• Python 3.8 或更高版本
• pip 包管理工具

安装步骤

1. 克隆仓库

   git clone https://github.com/yourusername/echo.git
   cd echo

2. 安装依赖

   pip install -r requirements.txt

3. 配置应用

   打开 app.py，配置您的 SM.MS API Token (用于图片上传功能)：

   # app.py
   SMMS_API_TOKEN = "your_smms_api_token_here"

   提示: 您可以在 SM.MS 免费获取 API Token。

4. 启动服务

   python app.py

5. 访问应用 打开浏览器访问: http://localhost:1314

📖 使用指南 (User Guide)

1. 注册/登录: 输入昵称和密码注册，系统将分配一个唯一的 6 位 UID（如 A1B2C3）。
2. 开始聊天:
   • 随机匹配: 点击主界面的"开始匹配"按钮，系统将为您寻找一位在线用户。
   • 定向聊天: 在搜索框输入对方的 6 位 UID，发送聊天请求。
3. 聊天设置:
   • 在聊天界面顶部选择消息销毁时间（默认 60秒）。
   • 观察右上角的锁形图标，确认端到端加密是否已激活。
4. 发送图片: 点击输入框左侧的相机图标选择图片发送。

🛡️ 安全声明

Echo 致力于保护用户隐私，但请注意：

• 虽然我们实施了端到端加密，但建议不要在任何网络平台上发送涉及金融、密码等极度敏感的信息。
• 阅后即焚功能依赖于客户端执行，请勿依赖此功能传输非法内容。

from  https://github.com/Natsusomekeishi/Echo

( https://github.com/brightmann/Echo)

你的npm包可能在偷你的密钥：一场惊心的攻击

 听说了嘛，有用户跑了个 npm install命令，结果GitHub 的令牌、AWS 的密钥、连SSH私钥都被偷走了？

这不是假设。2026年5月12日，安全机构 Socket 发出紧急警报——npm 生态遭遇了有史以来规模最大的供应链投毒事件之一：超过 160 个 npm/PyPI 包被植入恶意代码，包括前端圈耳熟能详的 TanStack（周下载量超 1200 万次）、Mistral AI 的官方 SDK、UiPath 企业自动化工具链，全部中招。

更离谱的是，这次攻击不需要偷任何人的密码。攻击者直接在 GitHub Actions 的内存里把 OIDC 令牌”读”了出来，然后用这个合法令牌把恶意包发布到了 npm——带着有效的 provenance 签名。
一场”技术上完美”的供应链攻击

这次攻击被安全圈称为 “Mini Shai-Hulud”，由威胁组织 TeamPCP 主导，攻击链设计得相当精密。

第一步，攻击者先分析了 TanStack 项目的 GitHub Actions 发布流程，找到了三个漏洞的组合利用路径：

    pull_request_target 缓存投毒：攻击者 fork 了 TanStack/router 仓库，提交了一个 PR，触发了带有 pull_request_target 的 CI 流程。这个流程会把攻击者控制的 pnpm 缓存产物注入到构建环境中。
    跨 fork 缓存污染：当真正的维护者合并 PR 并触发正式发布流程时，受污染的缓存被恢复，攻击者植入的恶意二进制文件随之执行。
    OIDC 令牌内存读取：恶意代码直接读取 GitHub Actions 运行器进程的内存（/proc/<pid>/mem），提取出 OIDC 令牌。

拿到 OIDC 令牌后，攻击者不需要任何账户密码，直接以 TanStack 官方的”受信任发布者”身份，把恶意版本推送到了 npm 注册表。

这就是最可怕的地方：这些恶意包携带了有效的 npm provenance 签名，意味着传统的”看签名判断包是否可信”这条路也被堵死了。
恶意代码做了什么？

被篡改的包在 package.json 中新增了一个 optionalDependencies 依赖项，指向一个伪造的包 @tanstack/setup，以及一个恶意的 prepare 生命周期钩子。

一旦你 npm install 了受影响版本的包，钩子自动运行，恶意代码会：

    扫描并窃取 AWS IMDSv2/GCP/Azure 的云凭据
    读取 Kubernetes 服务账户令牌、HashiCorp Vault 令牌
    翻找 ~/.npmrc、GitHub 个人访问令牌、SSH 私钥
    所有数据通过 Session 网络（去中心化加密通讯）+ typosquat 域名 + GitHub API dead drops 三条通道外传

更绝的是，恶意包还有蠕虫式的自我传播能力。如果受感染的机器上有 npm 发布权限，代码会自动修改那些有发布权限的包，把恶意依赖也一并注入进去，再利用窃取的令牌发布新版本——每个受害者的机器都变成了新的传播节点。

npm供应链攻击示意图
最狠的一手：删你没商量

你以为 revoke 令牌就完事了？图样图森破。

如果攻击者在你的机器上检测到一个有组织写权限的 GitHub 令牌，会自动安装一个持久化 daemon（macOS 用 LaunchAgent，Linux 用 systemd user service），这个 daemon 每 60 秒检查一次 GitHub——一旦发现令牌被吊销，直接执行 rm -rf ~，清空你的 home 目录。

安全公司的建议是：在吊销任何令牌之前，必须先找到并删除这个 daemon，否则删令牌反而会触发数据毁灭。

这个 daemon 在 macOS 上的路径是：~/Library/LaunchAgents/com.user.gh-token-monitor.plist。Linux 用户则检查 ~/.config/systemd/user/gh-token-monitor.service。
波及范围：比你想的大得多

事件披露后，波及范围迅速扩大。最初是 TanStack 旗下的 42 个包，但到当天结束，受影响命名空间已包括：

    @tanstack（83 个恶意版本）
    @uipath（66 个恶意版本）
    @mistralai（npm + PyPI 双端，官方 SDK 全军中招）
    @squawk（87 个恶意版本）
    @tallyui、@beproduct 等企业级包
    OpenSearch（npm 周下载 130 万次）

甚至安全工具 guardrails-ai（PyPI）的 0.10.1 版本也未能幸免。

总计：超过 160 个包名、373 个恶意版本，横跨 npm 和 PyPI 两大生态。
我们该怎么做？

如果你在5月份左右 npm install 过任何 TanStack 包，或者用企业 CI 跑过相关项目，现在立刻做这几件事：

第一步：检查是否有 persistence daemon（先做这个！）

# macOS
ls ~/Library/LaunchAgents/com.user.gh-token-monitor.plist

# Linux
ls ~/.config/systemd/user/gh-token-monitor.service

如果存在，先删掉，再吊销令牌。

第二步：轮换所有凭据

从受影响的机器上：GitHub PAT、npm token、AWS/GCP/Azure 密钥、Kubernetes SA token、SSH 私钥，全部轮换。

第三步：审计代码仓库

git log --all --author=claude@users.noreply.github.com

搜一下是否有来历不明的提交。同时检查 .claude/ 和 .vscode/ 目录里有没有 router_runtime.js 或 setup.mjs 这样的可疑文件——它们在 npm uninstall 后依然会存活。

第四步：检查 CI 配置

确保所有不需要 OIDC 发布的工作流都设置了 permissions: id-token: none，限制 GitHub Actions OIDC 令牌的作用域。

第五步：堵 C2 通道

在 DNS 或代理层阻断以下域名/IP：
– git-tanstack[.]com（typosquat）
– *.getsession.org（Session 网络）
– 83.142.209.194
这件事真正可怕的地方

回过头来看，这次攻击真正让人脊背发凉的不是技术有多高超，而是“可信”这个基础被动摇了。

你信任 GitHub Actions 的 OIDC 机制，它没问题。你信任 npm 的 provenance 签名，它也没问题。但攻击者把这两个”没问题”串起来，就绕过了一整套安全假设。

而且，攻击者甚至把 Shai-Hulud 的源代码短暂地发布到了 GitHub 上——在被删除之前已经被 mirror 到了其他地方。这意味着接下来会有大量的 copycat 攻击，用同样的手法去搞其他知名的开源项目。

开源生态的供应链安全，真的到了需要认真面对的时候了。我们享受着 npm install 带来的便利，却不得不承认：我们其实把太多信任交给了一个我们并不完全了解的生态系统。

你最近一次更新依赖是什么时候？有没有觉得哪个包加载得”稍微有点慢”？

参考资料：

Socket 官方警报

Snyk 深度分析

Orca Security 技术报告

SecurityWeek 报道

IT之家中文报道

wifi密码破解工具

 无线网络安全测试工具，支持测试WPA/WPA2/WPA3、多开并发、自动化测试连接，需自定义密码本.

 

何为合法、合规的使用场景

再次强调！ 本项目代码、工具及思想，仅限于以下合规场景：

• 学术研究与安全教学：在受控的实验室或课堂环境中，用于学习无线网络安全原理。
• 已授权的渗透测试：在已获得目标系统所有者明确书面授权的前提下，用于安全评估与漏洞验证。
• 个人设备安全测试：仅限用于测试您个人完全拥有并控制的网络设备（如自家的路由器）。

任何超出上述范围的用途，均可构成违法行为。

📢 鼓励举报违规内容

为维护社区健康，我们强烈鼓励并欢迎社区成员协助监督。如果您发现：

• 任何社交媒体、论坛、视频平台或网站存在违规传播本项目的内容。
• 任何讨论试图将本项目引导至非法用途（如攻击他人网络、索取密码字典）。

请在违规内容所在平台点击举报/投诉。

也可通过以下方式向我们举报：

• 最佳途径：在本仓库的 Issues 页面创建新问题，标题注明 [违规举报]，并提供违规内容的可公开访问链接及相关截图。

我们将对有效举报进行核实，并视情况采取公开警告、向相关平台发起举报/投诉等措施。

⚖️ 最终声明与风险自担

1. 开发者免责：项目维护者严格履行了告知义务。用户因未遵守本公告及项目文档中的合规警告而导致的任何法律纠纷、安全事件及财产损失，均由用户及违规传播者自行承担全部责任，与项目维护者无关。
2. 法律底线：请严格遵守《中华人民共和国网络安全法》、《刑法》及相关法律法规 (国家法律法规数据库) 。技术探索的底线是法律，任何违法行为都将受到法律制裁。

请珍惜开源环境，共同维护技术研究的纯洁性与合法性，将技术力量用于建设而非破坏。

---

项目维护者 敬上
最后更新：2026年02月08日

项目介绍

本项目是基于Python开发的拥有图形界面的无线网络安全测试工具(原 WIFI暴力破解工具，以技术名称命名)，支持多平台，使用本项目应遵循MIT许可，通过使用自定义密码本对目标WiFi进行连接测试，来判断其是否存在弱口令或其它安全风险。

支持测试 WPA、WPAPSK、WPA2、WPA2PSK、WPA3、WPA3SAE 安全协议

再次强调，本工具仅限用于已授权的渗透测试，或无线网络安全技术学习使用，任何人不得将其用于非法用途！！！ 再次强调，本工具仅限用于已授权的渗透测试，或无线网络安全技术学习使用，任何人不得将其用于非法用途！！！ 再次强调，本工具仅限用于已授权的渗透测试，或无线网络安全技术学习使用，任何人不得将其用于非法用途！！！

如何使用

简单使用

使用

首先测试你的无线网卡在 扫描wifi 和 连接wifi 时最佳的延时时长（以能成功扫描和成功连接为准），然后设置 扫描时间 和 连接时间。

接下来正常使用就可以啦。

自动运行

介绍

自动测试连接扫描到的WiFi

多开并发

要求

PC设备需要至少2个无线网卡，且都可以正常工作

密码本

默认文件路径

./passwords.txt

文件格式

password1
password2
password3
...

密码字典

文件路径

./dict/pwdict.json

文件格式

[
    {
        "ssid":"wifi_1",
        "pwd":"password1"
    },
    {
        "ssid":"wifi_2",
        "pwd":"password2"
    },
    {
        "ssid":"wifi_3",
        "pwd":"password3"
    },
]

日志

文件路径

./log

开发环境

Python ≥ 3.11.x（推荐：3.11.9）

核心模块

• Windows / Linux：pywifi、pyside6
• macOS：pyside6、pyperclip（WiFi 操作使用内置的 wifi_macos.py 模块，无需 pywifi）

系统要求

• Windows 10 及以上
• Ubuntu 22.04 及以上版本 （实验性）
• 其它支持 Python 3.11.x 以上的Linux系统 （实验性）
• macOS 12 (Monterey) 及以上

from  https://github.com/baihengaead/wlan-sec-test-tool

Certimate, 完全开源免费的自托管 SSL 证书 ACME 工具

 

An open-source and free self-hosted SSL certificates ACME tool, automates the full-cycle of issuance, deployment, renewal, and monitoring visually. 完全开源免费的自托管 SSL 证书 ACME 工具，申请、部署、续期、监控全流程自动化可视化，支持各大主流云厂商。

docs.certimate.me

English ｜ 简体中文

 Introduction

An open-source and free self-hosted SSL certificates ACME tool, automates the full-cycle of issuance, deployment, renewal, and monitoring visually.

• Self-hosted: Private deployment. All data is stored locally, to ensure data privacy and security.
• Cross Platforms: Compatible with various operating systems, including Windows/Linux/macOS.
• Zero Dependencies: No need to install databases, runtimes, or any frameworks. Ready to use out of the box.
• Low Resource Usage: Extremely lightweight, requiring only ~16 MB of memory.
• Easy to Use: Automates certificate management with a visual workflow — all with just a few simple configurations.

💡 Features

• Flexible workflow orchestration, fully automation from certificate application to deployment.
• Supports requesting single/multiple/wildcard domain certificates, IP address certificates, with options for RSA or ECC key.
• Supports DNS-01 challenge and HTTP-01 challenge both.
• Supports various certificate formats such as PEM, PFX, JKS.
• Supports more than 60+ domain registrars (e.g., AWS, Cloudflare, GoDaddy, Alibaba Cloud, Tencent Cloud, etc. Check out full providers).
• Supports more than 120+ deployment targets (e.g., Kubernetes, CDN, WAF, load balancers, etc. Check out full providers).
• Supports multiple notification channels including email, Discord, Slack, Telegram, DingTalk, Feishu, WeCom, and more.
• Supports multiple ACME CAs including Let's Encrypt, Actalis, Google Trust Services, SSL.com, ZeroSSL, and more.
• More features waiting to be discovered.

🚀 Quick Start

Run Certimate in 1 minute!

👉 Binary Installation:

👉 Docker Installation:

Visit http://127.0.0.1:8090 in your browser.

Default administrator account:

• Username: admin@certimate.fun
• Password: 1234567890

Work with Certimate right now. Or read other content in the documentation to learn more.

📄 Documentation

For full documentation, please visit docs.certimate.me.

Related articles:

• Migrate to v0.4
• 使用 CNAME 完成 ACME DNS-01 质询
• Why Certimate?

 from  https://github.com/certimate-go/certimate

[WIN] OpenArk - 进程/内核管理工具

 进程/内核管理工具「OpenArk」, 目标成为逆向工程师、编程人员的工具，同时也能为那些希望清理恶意软件的用户服务。支持 WinXP -Win11，独立的 EXE，无 DLL 依赖。

功能介绍

    进程 - 查看进程、线程、模块、句柄、内存、窗口、Token、内存扫描、PPL等信息，还有模块卸载、进程注入等功能。
    内核 - 系统内核工具，例如：内存管理、驱动、热键、回调、过滤驱动、存储、IDT/SDT/NDIS/WFP等功能。
    编程助手 - 程序员的工具箱。
    扫描器 - PE/ELF文件解析器，以后会变成病毒分析助手。
    捆绑器 - 目录和多个程序可以捆绑成一个exe程序，同时支持脚本。
    工具库 - 精心挑选了许多有用的小工具，这些和OpenArk既有功能互补，高效率，我们一直在思考。
    控制台 - 这里有很多有用的命令。
    语言 - 目前支持中文和英文，以后会支持更多。

项目地址：https://github.com/yyl-20020115/OpenArk/

OPKSSH开源：用单点登录重构SSH密钥管理

 

Cloudflare宣布将OPKSSH（OpenPubkey SSH）代码库捐赠给Linux基金会旗下的OpenPubkey项目，推动这一创新方案全面开源。OPKSSH通过将OpenID Connect（OIDC）单点登录（SSO）技术与SSH协议深度结合，重构传统SSH密钥管理模式。

OPKSSH的核心机制

    从ID Token到PK Token
        传统OIDC流程中，身份提供商（如Google、Azure）颁发的ID Token仅包含用户身份信息（如邮箱），不含公钥。
        OpenPubkey协议在ID Token中嵌入用户公钥，生成PK Token，使其兼具身份认证与密钥绑定功能，无需修改现有OIDC协议。
    SSH协议的“无侵入”集成
        动态密钥生成：用户执行opkssh login后，工具自动生成短期有效的SSH密钥对（默认24小时失效），并将PK Token嵌入SSH公钥的证书扩展字段，通过标准SSH协议传输至服务器。
        服务端验证革新：SSH服务器通过AuthorizedKeysCommand调用OpenPubkey验证器，直接解析PK Token中的身份信息（如邮箱），替代传统静态公钥白名单。

OPKSSH结合身份提供商的MFA（多因素认证），实现SSH访问的细粒度控制，满足金融、医疗等行业合规要求。 PK Token中的身份信息（如邮箱、组织）为访问日志提供结构化数据，便于溯源异常行为。

官网消息来源：https://blog.cloudflare.com/open-sourcing-openpubkey-ssh-opkssh-integrating-single-sign-on-with-ssh/

源代码：https://github.com/openpubkey/opkssh

Logto

Authentication and authorization infrastructure for SaaS and AI apps, built on OIDC and OAuth 2.1 with multi-tenancy, SSO, and RBAC.

logto.io

Logto is the modern, open-source auth infrastructure for SaaS and AI apps.

It takes the pain out of OIDC and OAuth 2.1 and makes it easy to build secure, production-ready auth with multi-tenancy, enterprise SSO, and RBAC.

website • cloud • docs • api • blog • auth wiki • newsletter

Why Logto?

Built for teams scaling SaaS, AI, and agent-based platforms without the usual auth headaches.

With Logto, you get:

• Multi-tenancy, enterprise SSO, and RBAC: ready to use, no workarounds.
• Pre-built sign-in flows, customizable UIs, and SDKs for 30+ frameworks.
• Full support for OIDC, OAuth 2.1, and SAML without the protocol pain.
• Works out-of-the-box for Model Context Protocol and agent-based AI architectures.

🗺️ See all features →

Get started

Pick your path:

• Logto Cloud: The fastest way to try Logto. Fully managed, zero setup.

• Launch Logto in GitPod: Start Logto OSS in seconds.

  Wait for the message App is running at https://3002-...gitpod.io, then click the URL starting with https://3002- to continue.

• Local development:

  # Using Docker Compose(requires Docker Desktop)
  curl -fsSL https://raw.githubusercontent.com/logto-io/logto/HEAD/docker-compose.yml | \
  docker compose -p logto -f - up
  
  # Using Node.js (requires PostgreSQL)
  npm init @logto

📚 Full OSS installation guide →

Integrate anywhere

Logto supports all your apps, APIs, and services with industry-standard protocols.

• SDKs for 30+ frameworks: React, Next.js, Angular, Vue, Flutter, Go, Python, and more.
• Connect to any IdP: Google, Facebook, Azure AD, Okta, and more.
• Flexible integration: SPAs, web apps, mobile apps, APIs, M2M, CLI tools.
• Ready for Model Context Protocol and agent-based architectures.

🚀 Explore quick starts →

🔌 See all connectors →

Showcase

Developer-first SDKs: Install in minutes with clear guides.

User-friendly auth flows: Sign-up, sign-in, social login, Google One Tap, MFA, SSO.

Multi-tenancy & organizations: Organization RBAC, member invites, just-in-time provisioning, and more.

from  https://github.com/logto-io/logto

Arch Linux用户仓库遭恶意软件入侵

 
2025年7月16日（UTC+2时间晚8点），Arch Linux用户仓库（AUR）突现恶意软件包。攻击者分两批上传了三个伪装成浏览器优化工具的程序包，实际暗藏 远程访问木马（RAT） ，可完全控制用户设备。涉事软件包为：

    librewolf-fix-bin
    firefox-patch-bin
    zen-browser-patched-bin

攻击手法解析
据Arch Linux安全团队披露，这些软件包均指向同一GitHub仓库，安装时会自动下载并执行恶意脚本。该RAT可实现：

    远程操控用户系统
    窃取敏感数据（如密码、密钥）
    植入持久化后门

响应与处置
Arch团队在接到警报后紧急行动：
✅ 48小时内清除污染源（7月18日UTC+2时间晚6点完成删除）
✅ 冻结攻击者账户（用户名为Quentin MICHAUD）
✅ 发布全球安全警报（覆盖超百万Arch用户）

用户应对指南

    立即检查系统：若安装上述任一软件包，须彻底卸载
    终端扫描指令：pacman -Q | grep -E "librewolf-fix-bin|firefox-patch-bin|zen-browser-patched-bin"
    强制安全措施：
        更换SSH密钥及系统密码
        审查近期登录记录
        使用ClamAV等工具深度扫描

消息来源：

http://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/7EZTJXLIAQLARQNTMEW2HBWZYE626IFJ/

35个Docker镜像藏”定时炸弹”：百万容器恐遭供应链核爆

根据BINARLY最新安全报告《Persistent Risk: XZ Utils Backdoor Still Lurking in Docker Images》披露，尽管2024年3月曝光的XZ Utils后门（CVE-2024-3094）已引发全球警报，但截至2025年8月，Docker Hub上仍存在至少35个包含该高危后门的公开镜像，持续威胁软件供应链安全。

一、后门现状：历史镜像的”定时炸弹”

    感染范围确认
    Binarly研究人员通过扫描发现，在2024年漏洞事件期间构建的Debian系Docker镜像仍存留于Docker Hub。这些镜像的liblzma.so 库被植入恶意代码，可劫持SSH连接执行任意命令。尽管主要Linux发行版（如Fedora、OpenSUSE）已修复官方镜像，但历史镜像未被清除，部分还被用作新镜像的基础层，导致感染链延续。
    Debian的争议决策
    当Binarly向Debian团队报告受感染镜像时，对方以”保证归档连续性”为由拒绝下架，辩称这些是”历史遗留物”且”风险较低”。该决定遭到安全社区强烈质疑。

二、技术危害：供应链攻击的完美载体

    后门运作机制
    恶意代码隐藏在XZ Utils 5.6.0/5.6.1版本中，通过干扰SSH认证流程，使攻击者绕过认证获取系统权限。微软工程师Andres Freund发现该后门时形容其”高度隐蔽且专业化”，安全专家Bruce Schneier推测其背后或有国家支持。
    Docker架构放大风险
        层级污染：基于受感染基础镜像构建的新镜像将自动继承后门。
        特权运行：Docker默认以root权限运行xz解压操作，一旦触发漏洞可导致整个宿主机沦陷。
        验证缺失：Docker仅校验清单签名却不验证镜像校验和，攻击者可伪造”合法签名”的恶意镜像。

三、深层症结：容器安全的系统性漏洞

    镜像仓库管理失控
    Docker Hub等公共仓库存在大量第三方镜像（包括个人上传），而平台缺乏有效审计机制。2018年就曾有17个挖矿后门镜像被下载超百万次，此次事件再现相同漏洞。
    技术债务堆积
    研究显示：超70%的官方镜像包含已知漏洞，但开发者因兼容性顾虑不愿更新基础镜像。Debian对”历史镜像”的保留政策正是这一问题的缩影。
    C语言工具链风险
    XZ Utils使用C语言开发，内存安全问题长期存在。证据表明，攻击者可构造恶意输入在解压时触发代码执行，而Docker对xz工具的依赖加剧了该风险。

安全报告原文：https://www.binarly.io/blog/persistent-risk-xz-utils-backdoor-still-lurking-in-docker-images

open source security foundation

 https://openssf.org/

 https://openssf.org/projects/

文件50年后还能打开吗？文档基金会：长期存档必须摆脱厂商自家的文件格式

如何确保今天创建的文档在几十年后依然能够被读取和使用，已成为档案管理、政府机构和企业的核心挑战。文档基金会（The Document Foundation）在官方博客文章中强调，长期数字档案保存必须超越厂商锁定的专有格式，并呼吁采用开放文档格式（ODF）作为可持续存档的基石。
专有格式风险

专有格式的核心问题在于“黑箱”——其内部结构不公开，完全由单一厂商控制。一旦该厂商停止对旧版本的支持，或修改格式规范，旧文档便面临技术性报废。那些看似方便的.doc、.xlsx等格式，很可能在软件升级或厂商策略变更后变成一堆无法解析的乱码。

相比之下，开放文档格式（ODF）‍ 作为由OASIS维护、并通过ISO/IEC标准化的开放标准，其规范完全公开，任何组织或个人均可自由实现。这意味着即使原始软件消失，只要有标准文档，未来仍能开发工具读取内容。

ODF如何保障长期可读性？

    公开透明的规范
    ODF的每一版标准（如ODF 1.3）都公开发布，确保任何开发者都能准确理解其结构，无需依赖特定厂商。
    强向后兼容
    2005年创建的ODF 1.0文档，至今仍能在兼容ODF的现代软件中打开，不会因版本升级而丢失内容。
    多厂商实现
    LibreOffice、Apache OpenOffice等多家厂商的办公套件均原生支持ODF，用户不必绑定某一家供应商。
    与PDF/A互补
    对需要固定版式的最终文档，可转换为PDF/A进行归档；而对仍需编辑的文档，ODF保留了完整的可再编辑性。

文档基金会建议所有涉及长期保存的机构——包括国家档案馆、图书馆、大型企业与公共管理部门——立即在政策与实践中优先采用ODF，并逐步淘汰那些封闭、易变的专有格式。

消息来源：https://blog.documentfoundation.org/blog/2025/11/07/long-term-archiving-with-odf/

Xubuntu网站被黑内幕曝光

2025 年 10 月中旬，Xubuntu 项目的官方网站（xubuntu.org）在短时间内遭到入侵，导致其下载页面提供的种子文件被替换为恶意压缩包。该事件由项目团队成员 Elizabeth K. Joseph 在 11 月 17 日向社区发布的公开信中正式说明。

入侵经过
攻击者通过暴力破解 Xubuntu 网站所依赖的 WordPress 组件中的一个脆弱点，获得了后台访问权限，随后在下载页面中注入了恶意代码，将正常的种子下载链接改为指向名为 “Xubuntu‑Safe‑Download.zip” 的恶意压缩文件。

https://s3-img.meituan.net/v1/mss_3d027b52ec5a4d589e68050845611e68/ff/n0/0a/kd/2p_196333.jpg@596w_1l.jpg

响应与修复
事件在 10 月 15 日被社区成员发现并上报后，Canonical 基础设施与安全团队立即介入，关闭了下载页面并启动调查。在 10 月 15 日至 19 日期间，团队完成了以下关键步骤：

    确认入侵路径并清除所有恶意代码与文件；
    将受影响页面回滚至经核验的干净版本；
    对 WordPress 实例进行加固，防止后续入侵。
    至 10 月 19 日，社区验证恶意文件已被移除，网站恢复安全状态。11 月 11 日，Canonical 向 Xubuntu 团队提交事件总结，确认漏洞已修复，并在只读模式下重新开放下载，以便迁移至新架构。

影响范围
本次事件仅涉及 xubuntu.org 网站上的 torrent 下载链接，未波及 cdimages.ubuntu.com、官方软件仓库、镜像站以及 Xubuntu 系统本身的构建流水线或已安装系统。任何在受影响期间下载并打开 “Xubuntu‑Safe‑Download.zip” 的用户应视其为恶意软件，立即删除并运行杀毒扫描。

后续改进
为彻底杜绝同类攻击，Xubuntu 团队决定将网站从 WordPress 迁移至 Hugo 静态站点生成器，从而消除动态代码执行带来的安全风险。该迁移计划原本已在推进，此次事件加速了其落地。新版静态网站预计很快上线。

社区反响
事件发生后，社区通过 Reddit、Matrix、IRC 等渠道迅速报告并互相提醒，分享官方镜像地址与校验方法，体现了社区的高度警觉与协作精神。团队对此表示由衷感谢，并鼓励有意贡献的开发者通过 xubuntu.org/contribute 加入。

Xubuntu 用户邮件列表 2025‑11‑17 公开信： https://lists.ubuntu.com/archives/xubuntu-users/2025-November/012210.html

RE_Tools 项目集成了全网优秀的逆向工具

本项目集成了全网优秀的逆向工具，包含.NET逆向工具，ARK工具，HEX工具，PE工具，安卓逆向工具，调试工具，监控工具，密码工具，网络工具。

免责声明

重点提醒：本项目工具来源于互联网，是否含带木马及后门请自行甄别！

本项目所有内容，仅供学习和研究使用，请勿使用项目的技术手段用于非法用途。

目录

• .NET逆向工具
• ARK工具
• HEX工具
• PE工具
• 安卓逆向工具
• 反汇编工具
• 调试工具
• 监控工具
• 密码工具
• 网络工具
• 插件

.NET逆向工具

• GitHub - dnSpy/dnSpy: .NET debugger and assembly editor
• GitHub - icsharpcode/ILSpy: .NET Decompiler with support for PDB generation
• dotPeek: Free .NET Decompiler & Assembly Browser by JetBrains

ARK工具

• GitHub - szdyg/HRSword: 火绒剑独立版

• GitHub - ClownQq/YDArk: X64内核小工具

• GitHub - k273811702/NoOne: 一款windows64位的ark工具 rootkit

• ATOOL | 安天实验室

• PCHunter

HEX工具

• 010 Editor - Pro Text/Hex Editor

• WinHex: Hex Editor & Disk Editor

PE工具

• GitHub - ExeinfoASL/Exeinfo: exeinfo PE for Windows by A.S.L

• PEiD

• GitHub - horsicq/Detect-It-Easy: Program for determining types of files

• PPEE - Professional PE Explorer (mzrst.com)

• EquiFox/KsDumper: Dumping processes using the power of kernel space !

安卓逆向工具

• GitHub - skylot/jadx: Dex to Java decompiler

• JEB Decompiler by PNF Software

• GitHub - iBotPeaches/Apktool: A tool for reverse engineering Android apk files

反汇编工具

• IDA Pro: Hex Rays – State-of-the-art binary code analysis solutions (hex-rays.com)
• GitHub - avast/retdec: RetDec is a retargetable machine-code decompiler based on LLVM
• GitHub - NationalSecurityAgency/ghidra: Ghidra is a software reverse engineering (SRE) framework

调试工具

• GitHub - x64dbg/x64dbg: An open-source user mode debugger for Windows
• OllyDbg v1.10
• WinDbg - Windows drivers | Microsoft Learn
• Cheat Engine
• DebugView - Sysinternals | Microsoft Learn

监控工具

API

• API Monitor
• WinAPIOverride : Free Advanced API Monitor, spy or override API or exe internal functions

Share Memory

• MemMapView

Process

• Overview - System Informer
• 进程资源管理器 - Sysinternals | Microsoft Learn
• hzqst/Syscall-Monitor: Syscall Monitor is a system monitor program (like Sysinternal's Process Monitor) using Intel VT-X/EPT for Windows7+
• Windows 性能工具包 | Microsoft Learn
• 应用程序验证程序 - 概述 - Windows drivers | Microsoft Learn

Window

• GitHub - strobejb/winspy: WinSpy++

Registry

• RegSnap - Registry Tracer

密码工具

• CyberChef

网络工具

• Web Debugging Proxy and Troubleshooting Tools|Fiddler (telerik.com)
• Wireshark · Go Deep
• HTTP Debugger - Debug HTTP API Calls to Back-ends

插件

IDA

• GitHub - 0xjiayu/go_parser: Yet Another Golang binary parser for IDAPro
• GitHub - polymorf/findcrypt-yara: IDA pro plugin to find crypto constants
• GitHub - sibears/IDAGolangHelper: Set of IDA Pro scripts for parsing GoLang
• GitHub - fjqisba/E-Decompiler: 用来辅助分析易语言程序的IDA插件
• GitHub - joydo/d810
• GitHub - 0xgalz/Virtuailor: IDAPython tool for creating automatic C++ virtual tables in IDA Pro
• GitHub - anatolikalysch/VMAttack: VMAttack PlugIn for IDA Pro

x64dbg

• x64dbg/ScyllaHide: Advanced usermode anti-anti-debugger. Forked from https://bitbucket.org/NtQuery/scyllahide

from  https://github.com/y9nhjy/RE_Tools

Encryptionbox

EncryptionBox is online tool which gives you 64 different type of encryption. How to make it it useful? First clone the git http://encryptionbox.wingcompiler.me/ and after that upload the code in your web server and open the file which the config.php which is in the includes folder of the code. In config.php file you can add the discription of the website.

from  https://github.com/gunjeetbawa10/Encryptionbox

TokenServer

 token服务，提供token一致性服务以及相关的全局ID生成服务等.

##API列表

• Create Token
• Query Token
• Verify Token
• Create GlobalID

##配置说明

<?xml version="1.0" encoding="UTF-8"?>
<config>
<httpserver httpport="8201" pprofport="8202"></httpserver>
<log filepath="/home/devfeel/tokenserver/logs"></log>
<redises>
    <redis id="tokenredis" serverip="127.0.0.1:6379" keypre="devfeel:TokenServer"></redis>
    <redis id="globalredis" serverip="127.0.0.1:6379" keypre="devfeel:TokenServer"></redis>
</redises>
</config>

##运行说明 假设执行文件安装在/home/devfeel/tokenserver/目录下：

• tokenserver    可执行文件
• innerlogs      程序内部日志目录
• logs           程序业务日志目录
• app.conf       程序配置文件

*默认配置下，会监听两个端口，一个为业务端口，一个为pprof端口

##外部依赖

• mgo - gopkg.in/mgo.v2/bson
• redigo - github.com/garyburd/redigo/redis

from  https://github.com/devfeel/tokenserver

cryptochat

Encrypted P2P chat over ICMP (Internet Control Message Protocol).

I strongly advise you to pick a high-entropy encryption key to avoid the possibility of brute-force attacks.

Uses raw-socket for ICMP handling and terminal-colors to spice it up a bit.

Install and usage

Make sure you have node 0.10.x (tip: use n) and then install the package globally with sudo.

sudo npm install -g cryptochat

Three variants of cryptochat are available depending on your use case:

• Send and receive messages

  $ sudo cryptochat <ip> <encryption_key>

Receive messages

$ sudo cryptochat server <encryption_key>

Send messages

$ sudo cryptochat client <ip> <encryption_key>

Because it relies on stdin for input, it is possible to use pipes to send data:

cat cryptochat.js | sudo cryptochat client <ip> <encryption_key>

ICMP Echo request format

bits 0-7	bits 8-15	bits 16-31
type = 0x08	code = 0x00	checksum
identifier		sequence number
payload

The message data is attached as the ICMP payload.

Message

Messages are piped from stdin and split into payload packages, which are encrypted and sent as ICMP Echo requests. The payload size per request is currently set to 32 bytes. The first byte is the length of the message and the rest is the message itself.

The first request contains a salt and an initialization vector needed to decrypt the payloads.

byte 0	bytes 1-15	bytes 16-31
0x3e	salt	initialization vector

An "end" request is sent in order for the receiver to know when a message is completed. The end request has the following format:

byte 0	bytes 1-31
0x3e	0xffffffff...

When the end request is received, the full message is printed to the screen.

from  https://github.com/mateogianolio/cryptochat

mouse-sensors-can-pick-up-speech-from-surface-vibrations

 "A group of researchers from the University of California, Irvine, have developed a way to use the sensors in high-quality optical mice to capture subtle vibrations and convert them into audible data," reports Tom's Hardware: [T]he high polling rate and sensitivity of high-performance optical mice pick up acoustic vibrations from the surface where they sit. By running the raw data through signal processing and machine learning techniques, the team could hear what the user was saying through their desk. Mouse sensors with a 20,000 DPI or higher are vulnerable to this attack. And with the best gaming mice becoming more affordable annually, even relatively affordable peripherals are at risk....

[T]his compromise does not necessarily mean a complicated virus installed through a backdoor — it can be as simple as an infected FOSS that requires high-frequency mouse data, like creative apps or video games. This means it's not unusual for the software to gather this data. From there, the collected raw data can be extracted from the target computer and processed off-site. "With only a vulnerable mouse, and a victim's computer running compromised or even benign software (in the case of a web-based attack surface), we show that it is possible to collect mouse packet data and extract audio waveforms," the researchers state.
The researchers created a video with raw audio samples from various stages in their pipeline on an accompanying web site where they calculate that "the majority of human speech" falls in a frequency range detectable by their pipeline. While the collected signal "is low-quality and suffers from non-uniform sampling, a non-linear frequency response, and extreme quantization," the researchers augment it with "successive signal processing and machine learning techniques to overcome these challenges and achieve intelligible reconstruction of user speech."

They've titled their paper Invisible Ears at Your Fingertips: Acoustic Eavesdropping via Mouse Sensors. The paper's conclusion? "The increasing precision of optical mouse sensors has enhanced user interface performance but also made them vulnerable to side-channel attacks exploiting their sensitivity."

from  https://it.slashdot.org/story/25/10/05/2225224/mouse-sensors-can-pick-up-speech-from-surface-vibrations-researchers-show

（https://www.tomshardware.com/tech-industry/cyber-security/high-performance-mice-can-be-used-as-a-microphone-to-spy-on-users-thanks-to-ai-mic-e-mouse-technique-uses-mouse-sensors-to-convert-acoustic-vibrations-into-speech） 

easy-proxy, 让跨域代理变得简单

This summary is not available. Please click here to view the post.

GitHub的开源库里，可能会有恶意程序

 

卡巴斯基全球研究与分析团队（GReAT）在一项被卡巴斯基称为GitVenom的行动中发现数百个开源存储库包含针对游戏玩家和加密货币投资者的恶意程序。受感染的项目包括用于与 Instagram 帐户交互的自动化工具、能够远程管理比特币钱包的 Telegram 机器人以及用于玩 Valorant 游戏的破解工具。所有这些所谓的项目功能都是假的，该活动背后的网络犯罪分子窃取了个人和银行数据，并从剪贴板中劫持了加密钱包地址。由于恶意活动，网络犯罪分子能够窃取 5 个比特币（调查时约为 485,000 美元）。卡巴斯基在全球范围内检测到了受感染存储库的使用情况，其中大多数发生在巴西、土耳其和俄罗斯。

虽然这些项目是用多种编程语言（Python、JavaScript、C、C++ 和 C#）编写的，但存储在受感染项目中的恶意负载具有相同的目标：从攻击者控制的 GitHub 存储库下载其他恶意组件并执行它们。这些组件包括一个窃取程序，它收集密码、银行账户信息、保存的凭据、加密货币钱包数据和浏览历史记录，将其打包到 .7z 存档中，并通过 Telegram 将其上传到攻击者。

安全报告原文：https://www.kaspersky.com/about/press-releases/kaspersky-exposes-hidden-malware-on-github-stealing-personal-data-and-485000-in-bitcoin