什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账 ...
分类:
Web程序 时间:
2021-02-08 12:17:23
阅读次数:
0
漏洞描述: 2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。 漏洞级别:严重 漏洞 ...
分类:
Web程序 时间:
2021-02-06 12:17:15
阅读次数:
0
TCP三次握手 TCP是可靠的连接,在进行TCP数据传输前,客户端和服务器之间会进行三次握手操作。主要涉及的地方是序列号(seq)、确认号(ack)、SYN标志位、ACK标志位,这都是TCP的报文格式中的部分。序列号是当前发送到报文的序列号,确认号是希望下一次收到报文的序列号。SYN标志位表示请求建 ...
分类:
其他好文 时间:
2021-02-05 10:37:34
阅读次数:
0
美国国家安全局(NSA)发布了有关企业采用加密域名系统(DNS)协议(特别是基于HTTPS的DNS)指南。 DNS负责将URL中包含的域名转换为IP地址,但由于以明文形式传输请求和响应,如今已成为一种流行的攻击媒介。 DNS over HTTPS或DoH旨在通过加密的HTTPS发送DNS请求来解决此 ...
分类:
其他好文 时间:
2021-01-30 11:52:03
阅读次数:
0
一、Google Authenticator 基本概念 Google Authenticator是谷歌推出的一款动态口令工具,旨在解决大家Google账户遭到恶意攻击的问题,在手机端生成动态口令后,在Google相关的服务登陆中除了用正常用户名和密码外,需要输入一次动态口令才能验证成功,此举是为了保 ...
分类:
Web程序 时间:
2021-01-29 12:11:48
阅读次数:
0
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数 ...
分类:
其他好文 时间:
2021-01-27 12:51:30
阅读次数:
0
目前我认为非标准的技术分类: 加密解密 漏洞利用 逆向工程 拒绝服务 无线攻击 硬件黑客 嗅探欺骗 维持访问 数字取证 社会工程 匿名隐形 这个分类与kali的14个分类不太一样,信息收集基本包含在所有的我的分类中,漏洞分析、web分析、数据库评估、利用工具都包含在漏洞利用中,密码攻击就是加密解密, ...
分类:
其他好文 时间:
2021-01-25 11:05:31
阅读次数:
0
httponly:如果给某个 cookie 设置了 httpOnly 属性,则无法通过 JS 脚本 读取到该 cookie 的信息,但还Application 中手动修改 cookie,所以只是在一定程度上可以防止 XSS 攻击,不是绝对的安全 虽然设置了httponly之后拿不到cookie,但是 ...
分类:
Web程序 时间:
2021-01-25 11:04:42
阅读次数:
0
? CVE-2021-2109 Weblogic远程代码执行 ? 一、漏洞简介 Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意 ...
分类:
Web程序 时间:
2021-01-22 11:48:03
阅读次数:
0
SQL是一种运用数据库数据、用于访问和处理数据库的标准的计算机语言。 简言之,SQL是一种结构化查询语言,使我们有能力访问和操作数据库。SQL 语句用于取回和更新数据库中的数据,可与数据库程序协同工作,比如 MySQL Server、MS Access、Informix、DB2、Sybase 、Or ...
分类:
数据库 时间:
2021-01-20 12:04:26
阅读次数:
0
