超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTT ...
分类:
Web程序 时间:
2020-06-16 00:35:01
阅读次数:
72
1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 显示前 1 位 + (实际位数) + 后 1 位,如: 3***************3 银行卡 显示前 6 位 + (实际位数) + 后 4 位,如 ...
分类:
其他好文 时间:
2020-06-11 18:19:20
阅读次数:
84
在webapi项目中我们经常希望对错误信息进行统一控制,不希望每个controller中都写个modelState.isvalid,以屏蔽部分敏感信息到前端,此时就需要对modelState错误返回值进行改造。此时可以通过全局过滤器进行过滤 代码如下:以下写法是发现一个错误就停止验证后续的字段,直接 ...
分类:
Web程序 时间:
2020-06-07 19:25:41
阅读次数:
147
命令 输出结果 修复建议 1. 若发现出现漏洞的服务器,立刻下线,避免其继续暴露敏感信息。 2. 停止旧版本的SSL服务,升级新版SSL服务。 ...
分类:
其他好文 时间:
2020-05-22 12:53:52
阅读次数:
242
BurpSuite手动测试配合xray做被动扫描,实际使用结果还不错,主要扫描出的漏洞集中在敏感信息泄露和xss一类的。 0x00、BurpSuite的代理配置: 首先需要配置BurpSuite转发ip与端口: 流程:1、选择 user options 2、选择Upstream Proxy Syst ...
分类:
其他好文 时间:
2020-05-21 11:42:13
阅读次数:
1222
SSH 协议是事实上的互联网基石之一。在 SSH 协议出现之前(1995 年由 Tatu Ylonen 设计),通过互联网远程登录其他设备(telnet)的过程是明文的。这意味着,整个通信过程,很容易被旁路嗅探,泄露敏感信息。 OpenSSH 是 SSH 协议的经典实现。目前,它作为各 Linux ...
分类:
其他好文 时间:
2020-05-06 12:03:47
阅读次数:
69
2020 2021 4 20175229《网络对抗技术》Exp6 MSF基础应用 一、基础知识 1.1 MSF的六种模块 (1) 模块 是利用发现的安全漏洞或配置弱点对远程目标系统进行攻击,以植入和运行攻击载荷,从而获得对远程目标系统访问权的代码组件。 形象点来说就是攻击模块。 (2) 模块 是在渗 ...
分类:
其他好文 时间:
2020-04-29 12:43:14
阅读次数:
68
概述 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解 ...
分类:
Web程序 时间:
2020-04-26 01:14:14
阅读次数:
125
SQL注入前要判断是哪种数据库。 MySQL或者sql sever等数据库都有自己的内置数据库。 网页: 静态网页(html/htm) 动态网页(asp/aspx/php/jsp) SQL注入危害: 1.窃取数据库敏感信息 2.对数据进行恶意的增删改 3.造成拒绝服务 4.文件系统操作:列目录,读取 ...
分类:
数据库 时间:
2020-04-22 16:13:17
阅读次数:
138
敏感信息如,图片、视频等要在第三方存储的, 鉴于图片存在第三方服务中,无法对c端用户进行访问图片服务的身份认证,只能基于第三方的 签名 来进行访问控制:1、使用私有bucket保存, 注意一般不要用在url中签名的方式(会留下浏览记录,且在过期时间内任何人均可访问) 2、签名使用在在heder里的方 ...
分类:
其他好文 时间:
2020-04-21 15:22:03
阅读次数:
68
