3、web安全基础知识点3

已于 2022-03-24 13:36:22 修改
阅读量99 收藏
点赞数
分类专栏: 渗透测试 文章标签: web安全 安全
于 2022-03-23 12:36:39 首次发布
原文链接:https://www.yuque.com/samxara/swro13/1f10d9271cd720e7161ba36515a44e57
版权

前言

在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备。

常见加密编码等算法解析

MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等

1、MD5(不可逆)

16位和32位,加密密文字符串由A-Z,0-9随机分配,80%网站管理员或用户密码加采取MD5加密。(不可逆)

在这里插入图片描述
网上的MD5在线工具,它的解密过程是用了枚举方法
在这里插入图片描述

2、SHA由A-Z,0-9随机组合,SHA1,SHA256,SHA384,SHA512长度固定。(不可逆)

在这里插入图片描述

3、进制

16进制加密
在这里插入图片描述

4、时间戳

网站或者服务器脚本语言里经常会使用,会在数据库里用户登录和注销,注册里会使用

5、URL

浏览器只做一次加密,在渗透绕过的时候可能会使用二次,三次加密方式

6、BASE64

大小写随机组合,在字符串后面经常出现一个或两个等号明文越长,密文越长
常见应用:代码、密码、参数
浏览器只做一次加密,在渗透绕过的时候可能会使用二次,三次加密方式
在这里插入图片描述

7、unescape

%u+4位数字,对应两位字符,主要应用WEB应用上
在这里插入图片描述

8、AES

是一种安全的加密方式,涉及到密码,偏移量,数据块,填充,在加密时候涉及到4种随机性。解密难度大。用base64解密出来是乱码,有很大可能是AES加密。有时候/出现在字符串里面。比较注重安全和大型网站、安全比赛
注:必须有密码和偏移量,否则无法进行解密
在这里插入图片描述

9、DES

类似于BASE64,有时候+会出现字符串里
在这里插入图片描述

10、常见加密形式算法解析

直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等

11、常见加密方式

枚举,自定义逆向算法,可逆向

12、了解常规加密算法的特性

长度位数,字符规律,代码分析,搜索获取等

13、例:墨者学院SQL注入漏洞测试(参数加密)

(1)进入题目
在这里插入图片描述

(2)使用御剑扫描该IP
在这里插入图片描述
(3)在浏览器中输入该URL,发现使用PHP文件
在这里插入图片描述
(4)访问该URL,下载压缩包并解压
在这里插入图片描述
(5)得到解密源码
在这里插入图片描述

(6)审计源码,发现是由两次base64加密得到。
一次base64解密
在这里插入图片描述
二次base64解密:
选中对应模式:
AES加密模式:CBC、数据块:128位、密码:ydhaqPQnexoaDuW3、偏移量:2018201920202021
解密得出:1_mozhe
在这里插入图片描述
(7)审计代码,最终得出值为:1
在这里插入图片描述

凌晨四点的代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全——基础知识(计算机网络part1)
学习记录
03-01 7857
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
web安全基础知识全图.png
02-14
web安全基础知识点总结,从风险评估、安全防护、应急响应、安全加固、大数据安全、物联网安全 、 其他方面做出总结,为xmind导图
web3知识体系汇总
mask哥
02-13 2579
web3知识体系总结
一、web安全入门基础知识
weixin_45761101的博客
06-01 1万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建的
信息与网络安全基础知识汇总
qq_50218610的博客
05-31 2万+
信息与网络安全基础知识汇总
Web3技术入门向科普
shaozheng0503的博客
04-21 6665
Web3是指下一代互联网,区别于传统的Web2。Web3的主要特点是去中心化和安全性。在传统的Web2中,我们是通过中央服务器来实现各种在线活动的,如发送电子邮件、购物、社交等等。这些活动的数据和信息都存储在中央服务器上,由中央机构来管理和维护。而在Web3中,我们是通过区块链技术来实现这些活动的。区块链是一个去中心化的数据库,它将数据和信息存储在许多节点上,不再需要中央机构来管理和维护。这样可以保证数据和信息的安全性和透明度,同时也避免了中央机构的单点故障。
Web安全基础
weixin_50906078的博客
04-16 3693
一、HTTP协议 1、HTTP 什么是HTTP? 超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要 是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等 HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程 (1)客户与服务器建立连接; (2)客户向服务器提出请求; (3)服务器接受请求,并根据请求返回相应的文件作为应答; (4
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
web前端基础知识
早睡早起长头发的博客
07-11 6450
一、网页、静态网页、动态网页 二、网页名词解释 三、Web标准 四、Web页面的组成
web安全测试--基础篇
qq_64444051的博客
07-02 7740
web安全测试概念及常用工具
WEB安全入门基础.pptx
08-24
WEB 安全入门基础知识点包括静态层、动态层、服务层、系统层等。了解这些知识点可以帮助我们更好地理解 WEB 安全的基本概念。 WEB 安全入门基础工具 WEB 安全入门基础工具包括 PHPStudy、Apache、PHP、Mysql 等...
2022年PHP基础知识点.doc
11-11
PHP基础知识点 一、LAMP 网站简介 * LAMP 架构简介:LAMP 是一个 WEB 开发架构,涵盖操作系统(Linux)、WEB 服务器(Apache)、数据库(MySQL)和编程语言(PHP)。 * B/S 构造和 C/S 构造:B/S 构造是 Browser/...
2023年web前端开发知识点总结.doc
11-07
Web 前端开发知识点总结 Web 前端开发是指使用 HTML、CSS、JavaScript 等技术来构建网站或应用程序的用户界面和用户体验的过程。以下是 2023 年 Web 前端开发知识点总结: HTML 知识点总结 HTML(HyperText ...
2023年web前端开发知识点总结.docx
11-07
"2023年web前端开发知识点总结" HTML知识点总结: 1. HTML基本结构:HTML文档的基本结构包括文档类型声明、HTML元素、head元素和body元素。 2. HTML元素:HTML元素分为块级元素和内联元素两种,常见的块级元素有h1...
网络安全(补充)
m0_62207482的博客
06-11 1013
同步包风暴(SYN Flood)攻击者假造源网址发送多个同步数据包(SYN Packet)给服务器,服务器因无法收到确认数据包(ACK Packet),使TCP/IP协议三次握手无法顺利完成,因而无法建立连接。其原理是发送大量半连接状态的服务请求,使服务主机无法处理正常的连接请求,因而影响正常运作 泪滴攻击暴露出IP数据包分解与重组的弱点,当IP数据包在网络中传输时,会被分解成许多不同的包传送,并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后
网络安全扫盲篇名词解释之“挖矿“
weixin_39266374的博客
06-11 978
挖矿、比特币、区块链
网络安全练气篇——OWASP TOP 10
最新发布
weixin_55762309的博客
06-13 753
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
servlet基础知识点
10-26
Servlet是Java Web开发中的一个重要组件,它可以接收和响应HTTP请求。以下是一些Servlet基础知识点: 1. Servlet的生命周期:init()、service()、destroy()。 2. Servlet的映射:通过web.xml或注解将Servlet映射到URL。 3. Servlet的请求和响应:HttpServletRequest和HttpServletResponse对象。 4. Servlet的线程安全性:Servlet是多线程的,需要注意线程安全问题。 5. Servlet的过滤器:可以在请求到达Servlet之前或响应离开Servlet之后对请求和响应进行处理。 6. Servlet的会话管理:可以使用HttpSession对象来管理用户会话。 7. Servlet的异常处理:可以使用try-catch块或web.xml中的<error-page>元素来处理异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值