- 博客(18)
- 收藏
- 关注
RSS订阅原创 【二十章】数据库系统安全
通过授权表,MVSQL提供非常灵活的安全机制。SQL保密Server提供Transact-SQL函数、非对称密钥、对称密钥、证书、透明数据加密机制。透明加密使用不同密钥对不同敏感数据进行加密处理,其中密钥类型有服务主密钥、数据库主密钥、数据库密钥。数据库防火墙:根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。:模拟黑客使用的漏洞发现技术,对目标数据库的安全性尝试进行安全探测分析,收集数据库漏洞的详细信息,分析数据库系统的。
2025-08-31 16:11:15
763
原创 【十八章】网络安全测评技术与标准
方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定。网络安全测评对象通常包括。对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的。网络安全测评是指参照一定的。
2025-08-30 23:17:27
1081
原创 【第七章】访问控制技术原理与应用
访问控制:指对资源对象的访问者授权、控制的方法及运行机制访问控制目标①防止进入系统。②阻止合法用户对系统资源的非法使用,即禁止合法用户的。
2025-08-25 14:20:15
972
原创 【十五章】网络安全风险评估技术原理与应用
网络安全风险评估:依据有关(等保2.0或者等保3.0),对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性来确认网络安全。简单地说,网络风险评估就是评估威胁者利用网络资产的,造。
2025-08-21 12:44:31
1112
原创 【十九章 操作系统安全保护】
通过“插件”增加UNIX/Linux新的身份验证服务,而无须更改原有的系统登录服务,例如Login,FTP和Telnet。Linux安全模块(LSM)为Linux内核提供了一个轻量级的、通用目的的访问控制框架,使得很多不同的访问控制模型可以作为可加载模块来实现。国产操作系统安全增强措施:国产操作系统在自主可控、安全可信方面,对开源操作系统Linux进行安全增强,从多个方面对Linux操作系统提供安全保障,通过LSM,相关安全组织可以根据安全需要开发特定的安全模块,挂接到Linux操作系统。
2025-08-17 15:37:35
631
原创 【第六章】认证技术与原理
认证一般由标识(Identification)和鉴别(Authentication)两部分组成。标识一般用名称和标识符(ID)来表示。通过唯一标识符,可以代表实体。(可以理解为账户名等能够代表唯一性的标识)鉴别:利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程。(通俗的来说的就是短信验证码、人脸、指纹等目前常见的鉴别手段)鉴别的凭据/认证依据:所知道的秘密信息、所拥有的的实物凭证、所具有的生物特征、所表现的行为特征。
2025-08-14 16:13:10
1074
原创 【十二章】网络安全审计技术原理及应用
摘要:本文系统介绍了网络安全审计技术原理及应用。首先概述了网络安全审计的定义、作用及等级保护要求,详细阐述了审计系统的组成和类型(操作系统审计、数据库审计等)。其次分析了审计机制实现技术,包括数据采集、存储、分析和保护方法。然后分类介绍了日志审计、主机监控、数据库审计等主要产品及应用场景,特别说明了堡垒机在运维审计中的作用。最后探讨了安全审计在运维保障、入侵检测、电子取证等领域的实际应用价值。全文通过技术原理与产品实践相结合的方式,全面呈现了网络安全审计的技术体系。
2025-07-31 22:06:04
1022
原创 【十一章】网络物理隔离技术原理与应用
网络物理隔离是既满足内外网数据交换需求又能防止网络安全事件出现的安全技术。基本原理是避免计算机之间直接联通,从而阻断在线网络攻击。
2025-07-30 21:51:29
567
原创 PTE靶场过关04---命令执行
命令执行原理:设计者在编写代码时没有做严格的安全控制,导致攻击者通过接口或相关参数提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器。验证主机是否存货,应该是ping 命令,题目要求是命令执行,可以构造 ping 127.0.0.1 | id达到执行两条命令的效果。
2024-12-23 15:23:06
723
原创 PTE靶场03----文件包含
简单来说就是一个文件里面包含另外一个或多个文件。测试url地址栏能否用上文件包含能够访问最基本的linux目录下的passwd。
2024-12-23 14:48:03
714
原创 PTE靶场之--文件上传突破过关02
大概思路,文件上传一般都是上传木马,从而获取shell,拿到权限,从而能够突破。直接上传木马测试,我这边用的中国菜刀的一句话木马,其他的也都一样。选择木马上传后没有回显数据,当即意识到是被过滤了重新上传图片发现是能够正常上传的,测试如下图图片马制作,将一句话木马和正常图片结合,进行结合,如下图操作使用BP代理抓包工具,在上传时截包,将png图片格式,改成格式。如下图但是这里改完发包发现还是没有东西,不给回显路径,服务器后台waf拦截了可以改成php2,php3,php4等,如下图,是可以正常传的
2024-12-19 11:24:33
655
原创 PTE靶场SQL注入过关01
sql注入这个题目是81端口访问进入题目后,直接采用order by 语句进行字段猜测order by猜解字段数目,查询语句如下。order by 1order by 2…order by n-1order by n如果n-1时返回正常,n时返回错误,那么说明字段数目为n。输入order by 后发现空格消失,尝试将空格换成空格可以用(回车符)绕过,#号可以用编码进行绕过。第一张图是没有编码替换的,第二个图是进行替换后的根据order by 语句的猜测,字
2024-12-18 16:02:48
1060
原创 漏洞复现学习Drupalgeddon,sql注入,CVE-2014-3704
Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。
2024-12-16 11:11:10
810
原创 【Javaweb】
jstl 运行jsp报错java.lang.NoClassDefFoundError: javax/servlet/jsp/tagext/TagLibraryValidator解决方式
2022-09-14 16:28:47
537
原创 数据库问题
有一个帖子里面讲述了在xml配置文件中一些符号需要进行转义字符处理,里面就包括&,可以看下面链接。课程的要求是获取connection对象,输出hash值,跟着视频操作,由于数据库的jar包不同,存在了一些问题。起初跟着视频将自己数据库的url放到了配置文件中,也没有主义红线的错误。运行之后出现了错误,如图。关于我这个问题是jar包的是5.xxx版本,以下附上一个8.0xx的解决问题,可以自测。于是根据转义字符的,对数据库url进行了修改。傻乎乎的跟着提示将&修改成;,运行之后还是报错,如下图。...
2022-08-11 13:56:40
222
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人