- 博客(6)
- 收藏
- 关注
RSS订阅原创 web安全加固
通过对输出进行编码防治跨站攻击,在输出数据之前对潜在的威胁的字符进行编码、转义是防御XSS攻击十分有效的措施。如果使用好的话,理论上是可以防御住所有的XSS攻击的。对所有要动态输出到页面的内容,通通进行相关的编码和转义。当然转义是按照其输出的上下文环境来决定如何转义的。此时的转义规则如:< 转成 <> 转成 >& 转成 &等等。实例如下:在没有替换时提交JS代码:<script>alert("xxx")</sc
2021-05-07 13:45:45
254
原创 webLD利用
在DVWA漏洞演练平台进行演练1.密码登录绕过打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。2.命令注入打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结果。3. 跨站请求伪造打开CSRF界面,可在New p.
2021-05-07 13:17:40
229
原创 身份认证与口令加密
使用ftp工具在本机部署ftp服务,设置用户名为admin,密码为admin@123用字典进行爆破爆破sqlserver的sa账户密码
2021-05-07 12:16:32
482
原创 信息加密
1.古典密码学摩尔斯电码是无线电发明后最早使用的信息编码,通过电键敲击出点、划及中间的停顿发送当铺密码通常使用汉字来隐藏信息,专门用来加密数字,不需要密钥,明文信息包含在加密后的密文中。较常见的当铺密码有两种,一种是将数字映射到对应笔画的汉字,另外一种是利用汉字的字形特征,当前汉字有多少笔画出头就转化成数字几。2.现代密码学对称加密:使用同一个密钥进行加密和解密。典型算法:DES。DES加密算法:美国数据加密标准,速度较快,适用于加密大量数据的场合,DES算法在POS、ATM、磁卡及智能
2021-05-06 21:21:14
311
原创 常见的网络命令获取网络信息
1.ipconfig命令ipconfig命令是调试计算机网络的常用命令,通常大家使用它显示计算机中网络适配器的IP地址、子网掩码及默认网关。ipconfig/?:ipconfig的帮助文档,详细介绍了ipconfig的使用方法。ipconfig:每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。(包含了虚拟机和无线网卡的相关信息)ipconfig/all:对比于ipconfig命令更加完善,IP的主机信息,DNS信息,Mac地址信息,DHCP服务器信息等。ipconfig /rel
2021-05-05 12:35:31
724
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人