摘要： 7.1. 暴力攻击 暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击——穷举各种可能性的攻击。 对于访问控制，典型的暴力攻击表现为攻击者通过大量的尝试去试图登录系统。在多数情况下，用户名是已知的，而只需要猜测密码。 尽管暴力攻击没有技巧性可言，但词典攻击似乎有一定的技巧性。最大的区别是在进行猜测时的智能化。词典攻击只会最可能的情况列表中进行穷举，... 阅读全文

摘要： 很多Web应用被其糟糕的身份验证与授权机制所困扰。本章主要讨论相关这些机制的漏洞，传授一些帮助你不犯通病的方法。我将通过一些例子进一步说明这些方法，但请注意不要把这些示例与其上下文割裂开来看，理解其中包含的原则和方法是很重要的。只有到那个时候你才能对它们进行正确运用。 通过验证我们可以确定一个用户的身份。典型的做法是简单地使用用户名和密码进行检查。这样我们就能确定登录用户是一个授权用户。 ... 阅读全文

摘要： 7.3. 重播攻击 重播攻击，有时称为演示攻击，即攻击者重现以前合法用户向服务器所发送的数据以获取访问权或其它分配给该用户的权限。 与密码嗅探一样，防止重播攻击也需要你意识到数据的暴露。为防止重播攻击，你需要加大攻击者获取任何用于取得受限资源的访问权限的数据的难度。这主要要求做到避免以下做法： 设定受保护资源永久访问权的数据的使用； 设定受保护资源访问权的数据的暴露（甚至是只提供临时访... 阅读全文

摘要： 7.2. 密码嗅探 尽管攻击者通过嗅探（察看）你的用户和应用间的网络通信并不专门用于访问控制，但要意识到数据暴露变得越来越重要，特别是对于验证信息。 使用SSL可以有效地防止HTTP请求和回应不被暴露。对任何使用https方案的资源的请求可以防止密码嗅探。最好的方法是一直使用SSL来发送验证信息，同时你可能还想用SSL来传送所有的包含会话标识的请求以防止会话劫持。 为防止用户验证信息不... 阅读全文

摘要： 7.4. 永久登录 永久登录指的是在浏览器会话间进行持续验证的机制。换句话说，今天已登录的用户明天依然是处于登录状态，即使在多次访问之间的用户会话过期的情况下也是这样。 永久登录的存在降低了你的验证机制的安全性，但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证，而是提供了记住登录的选择。 图7-2. 攻击者通过重播用户的cookie进行未授权访问 据我观察，最常见的有... 阅读全文

摘要： 8.1. 源码暴露 你的WEB服务器必须要能够读取你的源确并执行它，这就意味着任意人所写的代码被服务器运行时，它同样可以读取你的源码。在一个共享主机上，最大的风险是由于WEB服务器是共享的，因此其它开发者所写的PHP代码可以读取任意文件。 通过在你的源码所在的主机上运行上面脚本，攻击者可以通过把file的值指定为完整的路径和文件名来使WEB服务器读取并显示任何文件。例如，假定... 阅读全文

摘要： 目标:[通过此练习学习通够利用VI编辑器，对系统配置文件进行修改或编写简单的脚本程序] 命令行或命令模式:在最后一行没有显示--INSERT--或--REPLACE--字样的时候。 #： 是指常用的命令 一般模式：光标移动 h 或 -> 光标向左移动一个字符 ------------------------------------------------------------ l 或... 阅读全文

摘要： 目标：[通过此练习能对linux基本命令熟悉，能够进行简单系统管理相关工作，更详细的指令说明，请参照man page] 1.# 表示权限用户(如:root),$ 表示普通用户 开机提示:Login:输入用户名 password:输入口令 用户是系统注册用户成功登陆后，可以进入相应的用户环境. 退出当前shell,输入:exit 2.useradd netseek 添加一个net... 阅读全文

摘要： 目标:[通过此学习练习能够利用rpm包方式安装MySQL数据库，能够对MySQL数据库进行管理授权，备份等技术.] 纲要： 一，连接MySQL 二，MySQL管理与授权 三，数据库简单操作 四, 数据库备份 五，后记 一，安装连接MySQL 先查看mysql是否安装: rpm -qa|grep mysql -i (我用的是rpm包方式安装，查看是否安装... 阅读全文

摘要： 一种保护眼睛的好方法： 桌面->右键->属性->外观->高级－>项目选择（窗口）、颜色（L）选择（其它）将色调改为：８５。饱和度：１２３。亮度：２０５－>添加到自定义颜色－>在自定义颜色选定点确定－>确定这样所有的文档都不再是刺眼的白底黑字，而是非常柔和的豆沙绿色，这个色调是眼科专家配置的，长时间使用会很有效的缓解眼睛疲劳保护眼睛 别忘了分享给你的好朋友 [新闻]唐骏出任港澳资讯董事长 自称... 阅读全文