随想录

密码学-->根源--->数学难题
现代密码学建立在数学难题之上
攻破一个数学难题可以破解一类加密方案 技巧+超算
一次一密的安全--实用性差
产品建立在更可靠的信任源可延长其寿命。
某一产品的安全性是客观固定的，但是客户对该产品安全程度的认知是可操控的，如何让他完全相信信任源是不可攻破的是个问题。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等)，直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容;
广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全不在是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。

web应用=>可交互+数据库驱动=>可注入
指令--->表示层 ---> 逻辑层 --select--> 存储层
逻辑层执行细节处理 PHP
表示层无法直接与数据层通信
中间件：：：应用服务器
有时,完全挖掘一个漏洞需要有大量的技巧和坚强的毅力。
CMS
单 引号是进入系统内部的大门
根据错误提示推测实现细节--->注入指令：：：一定要熟悉各种错误
很明显，我们不需要记住所有错误代码，重要的是理解错误发生的时机和原因。

元数据是指数据库内部包含的数据，比如数据库或表的名称、

MYSQL服务器(5.0及之后的版本)的元数据位于INFORMATION_SCHEMA虚拟数据库中,可通过SHOWDATABASES和 SHOW TABLES命令访问。
GET方法 POST
发给服务器的内容完全可控
burpSuit parosProxy webScarab
cookie注入

输入验证+数据和控制结构混合在同一传输信道中

内联SQL注入
理解并利用SQL注入漏洞所涉及的主要技术包括:在心里重建开发人员在Web应用中编写的代码以及设想远程SQL代码的内容。如果能想象出服务器正在执行的代码，就可以很明确地知道在哪里终止单引号以及从哪里开始添加单引号。
AND高于OR

admin' AND 1=1 OR '1'='1

P63

---

规定运算：
A ? B = C
A = g^a
B = g^b
C = g^(ab)
Diffie-Hellman元组

2^30~~~~~~~280

所有在指令#include "stdafx.h"前的代码都是预编译的，它跳过#include "stdafx. h"指令，使用projectname.pch编译这条指令之后的所有代码。