- 博客(6)
- 收藏
- 关注
RSS订阅原创 SQL注入防范
一、SQL注入防范关于SQL注入可见博文https://mp.csdn.net/editor/html/1164929201、在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,不能绕过后台登录系统。原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。2、修改用户登录模块的
2021-05-07 16:45:54
297
1
原创 Web漏洞利用
一、SQL注入SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对Web服务器进行攻击的方法。1、打开SQL Injection界面,该界面的功能是通过输入User ID查询Username。输入1提交,将正常返回查询结果。输入1’提交,将返回一个错误。2、猜测使用的sql语句可能是:select First name and Surname from 表名 where id='输入的id'。输入1' union select 1,database()#提交,得到数据库名
2021-05-07 15:19:51
463
1
原创 身份认证与口令加密
密码与账户锁定策略1、搜索gpedit.msc或组策略并打开组策略编辑器。2、在计算机配置—安全设置中打开账户策略。口令强度判断1、运用简单代码对用户输入的口令强度进行判断2、在项目中为用户注册模块添加前端口令强度检测功能,要求:口令长度不少于6位,口令至少包含数字、小写字母、大写字母、特殊符号中的三种,当不满足要求时返回相应提示(DevC++)//判断口令强度var a=0;var b=0;var c=0;var d=0;function CharMode(
2021-05-07 11:20:10
272
原创 利用常见的网络命令获取网络信息
利用ipconfig命令获取本地网络信息ipconfig命令是调试计算机网络的常用命令,通常大家使用它显示计算机中网络适配器的IP地址﹑子网掩码及默认网关。ipconfig/all命令显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP配置信息。与ipconfig相比,它的信息更全更多,如IP是否动态分配、显示网卡的物理地址等。ipconfig/release释放当前IP(适用于由DHCP自动获取IP的情况)ipconfig/renew重新获取IP(适用于由DHCP自动获取IP.
2021-05-07 09:08:55
621
原创 公钥密码学
公钥算法基于数学函数而不是基于替换和置换,它使用两个独立的密钥,在消息的保密性、密钥分配和认证领域有重要意义。传统密码中的三个问题:(1)密钥分配问题:如果密钥被偷,设计再好的密码体制都没有用(2)密钥管理问题:n个用户需要n(n-1)/2个密钥,当用户量增大时密钥空间急剧增大(3)数字签名问题:能否设计一种方法确保数字签名出自某个特定的人,并且各方无异议?为解决上述问题,1976年Diffie和 Hellman提出了单向函数加密方法,即公钥密码体制。公钥加密的使用方式(1)Al
2021-05-05 19:48:10
250
1
原创 古典密码学
“密码”或“加密系统”用于“加密”数据。对于原始的未加密的数据,我们称之为“明文”。对于加密的结果,我们称之为“密文”。通过称为“解密”的过程,我们把密文恢复成原始的明文。古典密码算法历史上曾被广泛应用,大都比较简单,使用手工和机械操作来实现加密和解密。它的主要应用对象是文字信息,利用密码算法实现文字信息的加密和解密。古典密码学的两种加密思路如下:1、替换密码简单替换密码加密是通过将当前字母替换为在常规字母表中第n个位置之后的那个字母来完成的。较复杂的替换密码是为字母表建立映射.
2021-05-04 22:12:19
499
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人