网络安全
文章平均质量分 61
网络安全相关知识
流年忆雨*
懒~
展开
-
如何加密配置文件中的敏感信息
我们平时的项目中,会在配置文件中配置一些敏感信息,比如配置数据库账号、密码等信息。如果我们将配置文件与代码一起打包,别人拿到jar包后很有可能反编译jar,从而获取里面的配置文件信息。从上面代码看,我们发现EncryptableMapPropertySourceWrapper类和EncryptableEnumerablePropertySourceWrapper类出现频繁,这两个类其实就是用于解密的类。此框架的逻辑是,在加载配置文件时,做拦截操作,当发现有ENC包裹的字符串,会对其进行解密操作。转载 2023-02-15 16:17:40 · 196 阅读 · 0 评论 -
BugkuCTF-web17
原题链接判断是否存在SQL注入首先通过简单的输入判断请求方式为post方式,接着f12打开hackbar插件判断是否存在SQL注入(也可直接在题目输入框输入)先输入id=1再输入id=1‘由此可判断存在SQL注入,且判断SQL语句中存在引号,此处引号的作用即为闭合前引号通过order by语句判断字段数,#作用是注释后面的引号所以可判断共有四列information_schema结构 用来存储数据库系统信息schemata存储数据库名tables存储表名columns存原创 2021-04-19 22:41:19 · 155 阅读 · 0 评论 -
cookie欺骗(bugku)
解题思路:打开链接,发现是一串无意义的字符串观察url,发现filename的值为base64编码格式,解码为keys.txt,line应该表示行,基于此,可通过改变line的值并将filename值改为index.php(记得转为base64格式),查看该文件的代码。当line=1时当line=2时可通过python脚本将该文件内容打印出来import requestsa=25 #表示index.php文件的代码行数for i in range(a): url="http:/原创 2021-04-28 13:28:17 · 1197 阅读 · 0 评论 -
SQL注入
若为SQL显注,则一般步骤为:若可控制输入,则可通过简单的手工输入验证SQL注入漏洞规则;可借助burpsuite捕获目标网站数据包,导出,通过sqlmap进行注入攻击。常用sqlmap参数-u “url” 指定要测试的网页URL,常用于get类型的url测试。–cookie="cookie值“ 指定测试链接时所使用的cookie,常用于需登录后方能访问的页面。-p 指定存在注入点的参数,可提高sqlmap的检测效率。-r doc 将http请求保存至文档后,可以针对http请求进行检测原创 2021-04-11 22:13:44 · 163 阅读 · 0 评论