TFpI.cnblogs

摘要： java中sql注入主要发生在model层，黑盒测试sql注入的方法结合两点：1，异常注入后，界面有无明显的aql异常报出。2，查看数据库日志是否有脏数据注入。 preparestatement方法是预编译方法，对拼接的sql语句没用。不能采用预编译的点：SELECT id,path FROM wp 阅读全文

摘要： 输入验证： 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。 输入验证最好使用“白名单”校验的方式。 输入转义： 每个DBMS都有一个字符转义机制来告知DBMS输入的是数据而不是代码，如果将用户的输入都进行 阅读全文

摘要： 查看命令行帮助：nmap -help 主机发现：nmap -sn 端口扫描：nmap -sS 系统扫描：nmap -O 版本扫描：nmap -sV 综合扫描：nmap -A 脚本扫描：nmap -script=？ 阅读全文

摘要： 一个完整的VPN系统包含以下3个单元： 1，VPN服务器端：接收和验证VPN连接请求，并处理数据打包和解包工作的一台设备。 2，VPN客户机端：发起VPN连接请求，并且也可以进行数据打包和解包工作的一台设备。 3，VPN数据通道：VPN数据通道是一条建立在公用网络上的数据链接。 （其实所谓的服务器端 阅读全文

摘要： 防火墙理论特性： 创建阻塞点：通过允许，拒绝或重新定向经过防火墙的数据流，实现对进出内联网络的服务和访问的审计和控制，从而实现防止非法用户进入内联网络，并抵抗来自各种线路的攻击。 强化网络安全策略，提供集成功能。 实现网络隔离： 限制来自外联网络的访问。 限制网络内部未经授权的访问。 记录和审计内联 阅读全文

摘要： 0x00 什么是XML 1.定义 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 2.文档结构 XML文档结构包括XML声明、DTD文档类型定义（可选 阅读全文

摘要： 垂直权限管理是一种“基于角色的访问控制” 水平权限管理是一种“基于数据的访问控制” 无论哪种访问控制，设计方案时应该满足'最小权限原则" 阅读全文

摘要： 认证的目的是为了认出用户是谁，授权的目的是为了决定用户能够做什么。 密码必须以不可逆的加密算法，或者单向散列函数算法，加密后储存在数据库中。 如果只有密码作为唯一的认证手段，从安全是略显不足。所以要采用多因素认证。 Session认证：密码与证书等认证手段，一般用于登录（login）过程。当登录完成 阅读全文

摘要： HttpOnly： 浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。httponly解决的是XSS后的Cookie劫持。给cookie添加httponly代码。 输入检查，输出检查： 使用编码或转义的方式。使用正则表达式对输入加以限制。 若输出到客户端或者解释器的数 阅读全文

摘要： 利用字符编码： 百度曾经出过一个XSS漏洞，在一个<script>标签中输出一个变量，其中转义了双引号： 一般来说这里是没有XSS漏洞的，因为变量位于双引号内，系统转义了双引号。但是百度的返回页面是GBK/GB2312编码的，因此"%c1\"这两个字符被组合在一起会成为一个Unicode字符，在Fi 阅读全文