随笔分类 -  安全

Ubuntu -- 反射shell nc
摘要:攻击机: apt-get install netcat nc -lvvp 80 受害机: -g<网关>:设置路由器跃程通信网关,最多设置8个; -G<指向器数目>:设置来源路由指向器,其数值为4的倍数; -h:在线帮助; -i<延迟秒数>:设置时间间隔,以便传送信息及扫描通信端口; -l:使用监听模 阅读全文
posted @ 2019-11-02 11:30 ma_fighting 阅读(730) 评论(0) 推荐(0) 编辑
JSON HiJacking攻击
摘要:JSON劫持类似于CSRF攻击,为了了解这种攻击方式,我们先看一下Web开发中一种常用的跨域获取数据的方式:JSONP。 先说一下JSON吧,JSON是一种数据格式,主要由字典(键值对)和列表两种存在形式,并且这两种形式也可以互相嵌套,非常多的应用于数据传输的过程中。由于JSON的可读性强,并且很适 阅读全文
posted @ 2019-09-17 10:52 ma_fighting 阅读(856) 评论(0) 推荐(0) 编辑
查看 ssh 攻击 和 攻击成功者
摘要:查看攻击失败记录: grep "Failed password for invalid user admin" /var/log/auth.log查看攻击成功的记录: grep "Accepted password for root from" /var/log/auth.log 查看开启的服务: 阅读全文
posted @ 2019-08-28 16:08 ma_fighting 阅读(959) 评论(0) 推荐(0) 编辑
单点登录 sso -- cas CAS 原理 流程 分析
摘要:Yelu大学研发的CAS(Central Authentication Server) 下面就以耶鲁大学研发的CAS为分析依据,分析其工作原理。首先看一下最上层的项目部署图: 部署项目时需要部署一个独立的认证中心(cas.qiandu.com),以及其他N个用户自己的web服务。 认证中心:也就是c 阅读全文
posted @ 2019-08-13 11:20 ma_fighting 阅读(1340) 评论(0) 推荐(0) 编辑
OPTAUTH 两步验证详解
摘要:先贴图: 在对外网开放的后台管理系统中,使用静态口令进行身份验证可能会存在如下问题: (1) 为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解; (2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取; (3) 内部工作人员 阅读全文
posted @ 2019-01-02 14:47 ma_fighting 阅读(3536) 评论(0) 推荐(0) 编辑
ldap安装配置过程中遇到的错误,以及解决方法
摘要:错误1: [root@openldap openldap]# ldapsearch -LLL-W -x -H ldap://etiantian.org -D "cn=admin,dc=etiantian,dc=org" -b"dc=etiantian,dc=org" "(uid=*)" Enter 阅读全文
posted @ 2018-12-10 17:52 ma_fighting 阅读(5958) 评论(3) 推荐(0) 编辑
转: LDAP有啥子用? 用户认证
摘要:认证的烦恼 小明的公司有很多IT系统, 比如邮箱、SVN、Jenkins , JIRA,VPN, WIFI...... 等等 。 新人入职时需要在每个系统中申请一遍账号,每个系统对用户名和密码的要求还不一样, 实在是烦人。 这还不算, 按照公司的策略, 这些密码每隔三个月还得更改一次,每次都是一次大 阅读全文
posted @ 2018-12-10 14:35 ma_fighting 阅读(4228) 评论(0) 推荐(1) 编辑
安全 --- 数据加盐
摘要:作者:CoderZh链接:https://www.zhihu.com/question/20299384/answer/81065976来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 首先,我们明确一下安全加密方案的终极目标: 即使在数据被拖库,代码被泄露,请求被劫持 阅读全文
posted @ 2018-04-26 13:45 ma_fighting 阅读(4686) 评论(0) 推荐(2) 编辑
Sync 攻击原理及防范技术
摘要:据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。 阅读全文
posted @ 2017-09-30 15:43 ma_fighting 阅读(4029) 评论(0) 推荐(0) 编辑
CA认证原理以及实现(下)
摘要:在上述的文章后了解到原理之后,我们这篇文章来进行CA的搭建。 OPEN SSL 环境搭建在基础原理中我们提到了两种认证服务,单项认证服务和双向认证服务,我们就以双向认证服务举例说明。OpenSSL是一个开放源代码软件包,实现了SSL以及相关加密技术,是最常用的证书管理工具,OpenSSL功能远胜于K 阅读全文
posted @ 2017-03-31 16:14 ma_fighting 阅读(3258) 评论(0) 推荐(0) 编辑
CA认证原理以及实现(上)
摘要:转自: http://yale.iteye.com/blog/1675344 原理基础数字证书为发布公钥提供了一种简便的途径,其数字证书则成为加密算法以及公钥的载体,依靠数字证书,我们可以构建一个简单的加密网络应用平台,数字证书就好比我们生活中的身份证,现实中,身份证由公安机关签发,而网络用户的身份 阅读全文
posted @ 2017-03-31 16:10 ma_fighting 阅读(4314) 评论(0) 推荐(0) 编辑
安全 -- mysql参数化查询,防止Mysql注入
摘要:参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的 阅读全文
posted @ 2017-01-19 12:20 ma_fighting 阅读(14400) 评论(1) 推荐(1) 编辑
安全 --- CSRF攻击
摘要:什么是CSRF CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 那么CSRF到底能够干嘛呢?你可以这样简单的理解:攻击者可以盗用你的登陆信息,以你的身份模 阅读全文
posted @ 2017-01-18 16:06 ma_fighting 阅读(608) 评论(0) 推荐(0) 编辑
Go--避免SQL注入
摘要:避免SQL注入 什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没 阅读全文
posted @ 2016-12-21 15:50 ma_fighting 阅读(10658) 评论(0) 推荐(0) 编辑

历史天气查
点击右上角即可分享
微信分享提示