- 博客(5)
- 收藏
- 关注
RSS订阅原创 金融信息安全实习第四天——Web安全加固实验
Web安全加固实验一.SQL注入防范1.运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。2、在项目中找到用户登录模块所使用的关键SQL语句。3、修改登录模块的SQL查询相关语句如下
2021-05-07 13:57:07
205
原创 金融信息安全实习第四天——Web安全
Web安全一.Web1.0时代和2.0时代Web1.0时代——静态页面:html或者htm,是一种静态的页面格式,不需要服务器解析其中的脚本,由浏览器如解析。Web2.0时代——动态页面:asp、aspx、php、jsp等,由相应的脚本引擎来解释执行,根据指令生成静态网页,在前端使用脚本程序增强交互。1.依赖数据库 2.灵活性好,维护简便 3.交互性好,功能强大 4.存在安全风险,例如注入、跨站、上传等攻击二.Web安全We...
2021-05-07 13:35:13
295
1
原创 金融信息安全实习第三天——身份认证
身份认证身份认证是信息安全中最前沿的一道防线,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源一.身份认证的几种方式基于口令:简单易用,但是安全性较低,主要通过用户ID和口令进行认证基于密码学:安全性较高,通过对称加密算法、公开密钥密码算法等进行认证基于生物特征:具有普遍性、不可复制性,安全性最高,通过个人独特的胜利或者行为特征进行认证二.
2021-05-07 13:03:07
634
2
原创 金融信息安全实习第二天——信息加密技术
信息加密技术1.单项散列函数:单向散列函数,又称单向Hash函数、杂凑函数,就是把任意长度的输入消息串变化成固定长的输出串且由输出串难以得到输入串的一种函数。这个输出串称为该消息的散列值。一般用于产生消息摘要,密钥加密等。2.对称加密:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。3.非对称加密:对称加密算法在加密和解密时使用的是同一个秘钥;而非对称加密算法需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,
2021-05-07 11:40:18
257
原创 金融信息安全实习第一天——HK与网络GJ
1.HK的类型白帽子创新者:设计新系统,打破常规,精研技术,勇于创新 ——追求更好的技术,没有更好,只有最好灰帽子破解者:破解已有系统,发现问题/漏洞,突破极限/禁制,展现自我——计算机为人民服务黑帽子破坏者:随意使用资源,恶意破坏,散播蠕虫病毒,商业间谍——人不为己,天诛地灭(假)脚本小子:完全没有或者仅仅有一点点黑客技巧的人,利用他人所编辑的程序发起网络攻击,但是与真正地黑帽子黑客差距甚远2.网络攻击的来源3.网络威胁的形式4.入侵三部曲黑客入侵流程演练1
2021-05-07 11:20:24
509
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人