- 博客(10)
- 收藏
- 关注
RSS订阅原创 金融信息安全实训 课堂笔记7
今天学习了在用户登录界面用户名处输入万能密码admin’ or 1=1 --',密码处输入任意字符,点击登录,项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。之后进行了 XSS跨站防范1、运行项目,在网站中寻找能够提交信息的文本框。2、提交JS代码:,观察代码是否生效。3、在项目中编写代码,在用户提交留言和评论信息时将<和&g
2022-04-22 11:35:50
143
原创 金融信息安全实训 课堂笔记5
今天的学习进行了之下步骤一.密码与账户锁定策略1. 搜索gpedit.msc或组策略并打开组策略编辑器。2. 在计算机配置-安全设置中打开账户策略。3. 在密码策略中对口令进行如下设置:开启密码必须符合复杂性要求设置密码长度不少于6个字符设置密码最长使用期限为30天设置强制密码历史数为34. 通过测试观察上述密码策略的效果5. 在账户锁定策略中进行如下设置:设置账户锁定阈值为3设置账户锁定时间为3分钟设置重置账户锁定计数器时间为1分钟6. 通过测试观察上述账户锁定策略的效果二.
2022-04-22 08:03:30
138
原创 金融信息安全实训 学习笔记6
今天首先学习了密码登录绕过步骤如下:1、打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。2、仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。admin’ or 1=1 --’然后尝试命令注入1、打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结果。2、window和linux系统都可以用&
2022-04-22 07:59:09
144
原创 金融信息安全实训 课堂笔记4
今天学习了公钥加密算法,首先进行操作理解一下原理,本质原理为根据生成的d和e验证公式d×e ≡ 1 (mod (p-1)(q-1))。之后利用rsa tool进行如下操作:1. 运行RSA-Tool,点击Start按钮,滑动鼠标生成一个随机数。2. 点击Generate生成一对大质数p、q及N=p×q。3. 自己选定一个可用的整数e。4. 点击Calc.D生成d。5. 至此创建了一对公钥和私钥。6. 将公钥(N,e)发送给小伙伴,小伙伴利用该公钥进行消息加密并发回密文。7. 利用私钥对小伙伴发
2022-04-20 18:43:13
81
原创 金融信息安全实训 课堂笔记3
今天学习了密码的加密与解密,以下为课程部分内容,现在已经有很多破译器可以使用了,希望大家学习进步DES加密:DES加密是三大著名且经典的加密算法之一,为分组对称加密算法。DES算法(或国产等效算法)在POS、ATM、磁卡及智能卡(IC卡)、加油站、高速公路收费站等领域被广泛应用,以此来实现关键数据的保密,如信用卡持卡人的PIN的加密传输,IC卡与POS间的双向认证、金融交易数据包的MAC(消息鉴别码Message Authentication Code)校验等。DES(Data Encryption
2022-04-19 22:34:05
96
原创 金融信息安全实训 课堂笔记2
今天,学习了各种命令的使用。如ping命令,具体如下:首先使用config命令查询本机的主机号,之后可以尝试用ping命令向网站发送数据还可以发送更大的文件,但是可能会被网站拒绝通过学习让我理解了主机之间的联系。...
2022-04-19 21:43:28
64
原创 金融信息安全课程笔记——1
今天学习了黑客入侵课程演练,首先是学习的目标,主要是深入理解网络无安全的思想。了解网站漏洞扫描工具AWVS的使用方法。了解Webshell连接工具中国菜刀的使用方法。掌握端口及漏洞扫描的基本知识,能够利用工具进行扫描工作。掌握网站入侵的一般流程。一.进行IIS web站点,首先进行部署,把程序和功能内的windows信息服务中的web管理工具和万维网服务打开,...
2022-04-18 20:40:33
143
原创 2020-12-26
一.在设计过程中,经常会出现HTTP Status 404(The requested resource is not available)异常的问题,通过查找资料,找到了一下几点解决方案:右键项目点击properties,找到Java Build Path 中Order and Export 检查Tomcat是否勾选。2.未部署Web应用3.URL输入错误a.查看URL的IP地址和端口号是否书写正确。b.查看上下文路径是否正确 Project--------Properties------My
2020-12-26 11:52:35
431
1
原创 2020-12-25
可以获得系统时间并使用,同事也可以进行简单的加减 ,如下列订单时间及两个小时之后的获取<%Date d = new Date();SimpleDateFormat df = new SimpleDateFormat(“yyyy-MM-dd HH:mm:ss”);Calendar calendar = Calendar.getInstance();String now = df.format(d);//加上两小时calendar.add(Calendar.HOUR,+1);//时Simp
2020-12-25 15:24:45
50
原创 2020-12-25
用户注册很多时候会重复,避免数据库中已有,可以使用以下代码进行注册操作<% request.setCharacterEncoding(“gb2312”); String username=request.getParameter(“username”); String password=request.getParameter(“newpw1”); int power=Integer.parseInt(request.getParameter(“power”)); String
2020-12-25 15:21:21
49
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人