- 博客(5)
- 收藏
- 关注
RSS订阅原创 Day4-Web漏洞利用
网站中的漏洞一直都让管理人员头痛,我们来了解如何利用web漏洞以提高安全防范意识首先进行部署行动,DVWA(Damn Vulnerable Web Application)是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程,我们以DVWA为工具进行漏洞攻击演练。一、登录绕过在用户登录界面输入敏感字符 ' 测试登陆框是否存在注入发现进
2021-05-07 11:59:28
243
原创 Day3-身份认证与口令加密
一、密码与账户锁定策略在开始菜单里搜索“gpedit.msc”或者组策略,打开组策略编辑器,打开计算机配置-安全设置-账户策略,在这里可以设置计算机账户密码的复杂性、历史密码数、密码使用天数等的限制。二、弱口令爆破工具为什么很多网站或者应用都要求设置高密码复杂度?我们来看看弱口令会有什么后果:可以看到,密码的强度太低,只需要8毫秒就破解了,而如果我们密码的复杂度提高的话,再看看能否破解:可以看到,当所有的检查完成之后,也没有出现新设置的密码,说明高强度密码相比于低强度..
2021-05-07 11:29:28
267
原创 Day1-信息安全
随着基于图形用户界面应用程序的普及,普通用户已逐渐淡忘了DOS时代只能依靠输入命令同计算机交互的方式。但是命令行依然有它独特的价值,而Windows命令行中也提供了一些实用工具,尤其适用于判断和处理系统网络问题以及嗅探网络中的信息。准备工作:启动命令行环境按win+R键,打开运行,输入cmd,点击确定,进入命令行环境(win10可直接搜索“cmd”)。一、ipconfigipconfig命令是调试计算机网络的常用命令,通常大家使用它显示计算机中网络适配器的IP地址、子网掩码及默认网关。i
2021-05-07 11:00:12
567
原创 Day5-Web安全加固
一、SQL注入防范 项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。没有做SQL注入防范的网站,我们可以在用户登录中输入一些特殊字符,例如 ‘ 进入页面保护界面,看到采用的SQL语句,再进行构造永真语句达到登录绕过的效果。(万能密码:admin' or 1=1 --')可以看到,图片中的语句采用拼接,这种就...
2021-05-07 10:35:45
114
1
原创 Day2-信息加密与消息摘要
Day2 学习了一些加密算法,如下:DES加密:DES加密是三大著名且经典的加密算法之一,为分组对称加密算法。DES算法(或国产等效算法)在POS、ATM、磁卡及智能卡(IC卡)、加油站、高速公路收费站等领域被广泛应用,以此来实现关键数据的保密,如信用卡持卡人的PIN的加密传输,IC卡与POS间的双向认证、金融交易数据包的MAC(消息鉴别码Message Authentication Code)校验等。DES(Data Encryption Standard)是分组对称密码算法。DES采用了64
2021-05-04 17:02:42
424
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人