摘要:
信息泄露 + 泄露系统敏感信息 + 泄露用户敏感信息 + 泄露用户密码 信息泄露的途径 + 错误信息失控 + SQL注入 + 水平权限控制不当 + XSS/CSRF + ... 社会工程学 + 你的身份由你掌握的资料确定 + 别人掌握了你的资料 + 别人伪装成了你的身份 + 利用你的身份干坏事 + 阅读全文
摘要:
接入层上传 上传问题 上传文件 再次访问上传的文件 上传的文件被当成程序解析 上传问题防御 限制上传后缀 但是可以通过改后缀名的方式,达到攻击的目的 文件类型检查 类型是从浏览器读取的,可以不经过浏览器上传文件,依然不安全 文件内容检查 但是可以通过在文件头部写入对应的内容 所以还是不安全 程序输出 阅读全文
摘要:
接入层注入 关系型数据库 存放结构化数据 可高效操作大量数据 方便处理数据之间的关联关系 常见: access/sqlite(db 结尾,一般用于手机)/mysql/mssql server sql 语言 标准化 类似于自然语言的描述性语言 用于关系型数据库 可完成增删改查以及各种复杂数据库操作 s 阅读全文
摘要:
密码安全 密码的作用 证明是你 密码的存储 密码的传输 密码的替代方案 生物特征密码的问题 密码 泄露渠道 数据库被偷 服务器被入侵 通讯被窃听 内部人员泄露数据库 其它网站(撞库) 密码 存储 严禁明文存储(防泄漏) 单向变换(防泄漏) 变换复杂度要求(防猜解) 密码复杂度要求(防猜解) 加盐(防 阅读全文
摘要:
传输安全 http 窃听 窃听用户密码 窃听传输敏感信息 非法获取个人资料 Windows 下命令行执行 tracert 命令可查看一个请求响应完整走的路径 还可以可以用 node 全局安装 工具来进行操作 简介 AnyProxy 是阿里巴巴基于 Node.js 开发的一款开源代理服务器。 代理服务 阅读全文