2019-2020-2 『网络对抗技术』Exp9:Web安全基础 基础问题回答 实践过程记录 WebGoat安装 SQL注入攻击 1.命令注入(Command Injection) 2.数字型注入(Numeric SQL Injection) 3.日志欺骗(Log Spoofing) 4.SQL 注 ...
分类:
Web程序 时间:
2020-05-19 20:17:25
阅读次数:
68
0x00:简介 0x01:白帽世界观 一、实施安全评估 1.1 一个安全评估的过程,可以分为4个阶段:资产等级划分、威胁分析、风险分析、确认解决方案 1.2 资产等级划分。就是对数据做等级划分,互联网安全的核心问题,是数据安全的问题。 做资产等级划分的过程,需要与各个业务部门的负责人一一沟通,了解公 ...
分类:
Web程序 时间:
2020-05-16 23:36:29
阅读次数:
159
明文: 对称加密: 非对称:(公钥:pk 私钥:sk) 对称+非对称: 先用非对称方式发送num1给server,server用私钥得出key(由num1算出来),自此,约定C、S以此key(num1)通讯。 每个C的num1是随机生成的,所以是独一无二的。 对称+非对称的漏洞: 解决以上漏洞 CA ...
分类:
Web程序 时间:
2020-05-10 16:59:45
阅读次数:
80
" " "玄魂" 文章分为前言、课程目录、活动奖品预览和抽奖四部分,阅读完毕大概需要占用您4分钟时间。 前言: “ 大家好,我是山丘安全实验室的 “陈殷”,首次做客 玄魂工作室,本次活动是山丘安全实验室和玄魂工作室联合推出的。之所以有这次合作,是因为玄魂老哥的一句话: 一直以来我都坚持我的初衷——用 ...
分类:
Web程序 时间:
2020-05-08 12:40:37
阅读次数:
168
CIA知道么 ? 机密性(Confidentiality) 完整性(Integrity) 可用性(Availiability) 常见的web攻击有 XSS ,CSRF; xss 到底是什么 ? 黑客在你的浏览器中插入一段恶意JS脚本,窃取你的隐私信息【这里泛指cookie登录信息】,冒充你的身份进行 ...
分类:
Web程序 时间:
2020-04-26 21:25:47
阅读次数:
104
谈到软件安全,一般要清楚部署方式,然后再考虑如何防御,而当前的软件应用,web应用部署有三种,Iass、pass和saas,这其中,后两种的部署方式占了绝大多数,这样看来,对于web应用来说,防御的方向主要就放在了服务器和web本身这两个方向。 服务器的防御,主要类似于防火墙、杀毒软件等 web应用 ...
分类:
Web程序 时间:
2020-04-26 14:00:22
阅读次数:
84
我最近从Web安全开始学习二进制安全,分享一下自己学习过程的收获和心得体会 ...
分类:
其他好文 时间:
2020-04-23 19:30:46
阅读次数:
88
上次在上直播课的时候,教员提到了html这种标记语言。自己就在W3school上面学了一点点关于html的一些皮毛,自己动手写了一个小网页,同时自己对CTF这一块比较感兴趣,但是自己还是一个干干净净的小白,就在B站上找了一些关于Web安全的入门视频看了看,学了一点点html的漏洞东西(皮毛而已),学 ...
分类:
Web程序 时间:
2020-04-11 23:27:41
阅读次数:
371
前面的碎碎念 像新浪、哔哩哔哩这种大的网站,类似于一个新闻站点、门户,都是比较大的知名企业,做网站以及对网站进行优化甚至都有几百人。 小一点的比如我们的学校也有对外发布的网站,还有其他大大小小的企业都会有自己的门户网站,这一级别的自己去开发网站就不太现实,所以网上就有许多可以快速生成网站的模板(开源 ...
分类:
Web程序 时间:
2020-04-09 15:25:18
阅读次数:
117
DVBBS小科普(来源:https://baike.baidu.com/item/动网论坛/369961?fr=aladdin): 动网论坛(也称“Dvbbs”)作为目前国内最大的社区论坛软件服务提供商,依靠其强大的功能、非凡的访问速度和负载能力、友好方便的客户操作界面、优质的客户服务、国内领先的技 ...
分类:
数据库 时间:
2020-04-08 22:20:56
阅读次数:
93