摘要: 前言 长度位数,字符规律 数据加密是一种保护数据安全的技术,通过将数据明文转换为不易被未授权的人理解的形式密文,防止数据泄露、串改和滥用。 对称加密 加密和解密使用同一密钥,加解密速度快,适合加密大量数据。但密钥需要安全地存储和传输,否则容易窃取,破坏数据地保密性。 DES 明文分为64位一组,密钥 阅读全文
posted @ 2024-12-30 17:44 予遂计划 阅读(59) 评论(0) 推荐(0) 编辑
摘要: 越权漏洞原理 当用户发出请求后,服务器在处理请求时,没有对该用户的操作进行权限的判定,从而导致黑客利用该漏洞,达到查看、修改、增加、删除等不属于自己权限范围内的数据。 挖越权漏洞的思路? 修改各类ID,请求参数,探测是否能获取所需其他用户的信息。 越权漏洞分类 水平越权:同级别账号进行增删改查等操作 阅读全文
posted @ 2024-12-12 16:09 予遂计划 阅读(28) 评论(0) 推荐(0) 编辑
摘要: 文件上传漏洞原理 上传文件时,未对上传的文件进行严格的验证和过滤,造成文件上传漏洞,上传文件包括asp、aspx、php、jsp等。攻击者利用上传缺陷上传可执行脚本文件,并通过脚本获取执行服务器端命令的能力,控制服务器。 WEB应用开放了文件上传功能,并且对上传的文件没有进行足够的限制;程序开发部署 阅读全文
posted @ 2024-12-09 14:54 予遂计划 阅读(26) 评论(0) 推荐(0) 编辑
摘要: 内网中碰到不出网的主机,常见的原因有: 没有设置网关、系统防火墙或者其他设备设置了出站限制,只允许特定协议或端口出网。 1、主机未设置网关,站库分离环境最常见的就是数据库不出网 C:\Users\Administrator>ping baidu.com Ping 请求找不到主机 baidu.com。 阅读全文
posted @ 2024-12-06 16:03 予遂计划 阅读(66) 评论(0) 推荐(0) 编辑
摘要: 1.sql注入中二阶注入原理? 二阶注入是用户输入被存储后(如数据库或文件),再次被读取并输入到sql查询语句中,从而导致注入攻击。 1.插入恶意数据,进行数据库插入数据时,对特殊字符进行了转义处理,在写入数据库时保留了原来的数据。 2.引用恶意数据,开发者默认存入数据库的数据都是安全的,进行查询时 阅读全文
posted @ 2024-12-04 17:37 予遂计划 阅读(30) 评论(0) 推荐(0) 编辑
摘要: XSS原理 web应用程序对输入和输出没有进行严格过滤、攻击者可以插入构造的恶意javascript脚本,当正常用户浏览网页时,被浏览器当作有效代码解析执行,盗取用户数据或执行其他恶意操作。 DOM型xss漏洞容易出现的地方有哪些? 1、可以被innerHTML或outerHTML属性修改的节点:节 阅读全文
posted @ 2024-12-04 17:33 予遂计划 阅读(54) 评论(0) 推荐(0) 编辑
点击右上角即可分享
微信分享提示
🚀
回顶
收起
  1. 1 404 not found REOL
404 not found - REOL
00:00 / 00:00
An audio error has occurred.