第4-5天:30余种加密编码和资产架构&端口&应用&CDN&WAF&站库分离&负载均衡

最新推荐文章于 2024-11-09 23:34:47 发布
最新推荐文章于 2024-11-09 23:34:47 发布
阅读量673 收藏 12
点赞数 7
分类专栏: 小迪安全学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51884452/article/details/140169750
版权

文章目录

前言

  • 在安全测试中常见的敏感信息密码等会采用加密方式,因此作为一名安全人员要了解常见加密。

知识点

  • 主要有存储加密(Web&数据库&系统),传输数据编码(各类组合传输参数值),代码特性(JS&PHP&NET&JAVA),数据显示编码(字符串数据显示编码)

常见加密编码等算法解析

MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等

  • MD5(不可逆)16位和32位,加密密文字符串由A-Z,0-9随机分配,80%网站管理员或用户密码加采取MD5加密。(不可逆)
  • 时间戳
    网站或者服务器脚本语言里经常会使用,会在数据库里用户登录和注销,注册里会使用
  • unescape
    %u+4位数字,对应两位字符,主要应用WEB应用上
  • AES(重点)ctf中常考
    高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法(微信小程序加密传输就是用这个加密算法的)。对称加密算法也就是加密和解密用相同的密钥,具体的加密流程如下图

在这里插入图片描述

  • 下面简单介绍下各个部分的作用与意义:

  • 明文P
    没有经过加密的数据。

  • 密钥K

    用来加密明文的密码,在对称加密算法中,加密与解密的密钥是相同的。密钥为接收方与发送方协商产生,但不可以直接在网络上传输,否则会导致密钥泄漏,通常是通过非对称加密算法加密密钥,然后再通过网络传输给对方,或者直接面对面商量密钥。密钥是绝对不可以泄漏的,否则会被攻击者还原密文,窃取机密数据。

  • 墨者学院CTF(SQL注入漏洞测试(参数加密))

资产架构&端口&应用&CDN&WAF&站库分离&负载均衡

资产架构

  • EB单个源码指向安全
    通常指代一个主机一个web网站 例如 220.16.31.25 里面就一个joomla站点 这就交web单个源码。
  • WEB多个目录源码安全
    多目录源码安全指的是 一个主机下面有多个网站站点 可能是220.16.31.25/joomla ,然后再这个joomla下面还存在一个博客网站 或者 再joomla同目录下有另一套的CMS 。
  • WEB多个端口源码安全
    指的是将不同网站分别架设再一个IP上的不同端口。
    服务器架设多个站点安全
  • 架设第三方插件接口安全
    第三方插件接口指的是CMS下面的一些插件,能提高网站的性能,这些插件就可能存在安全隐患
    服务器架设多个应用安全
    指的是例如phpmyadmin这一类的便于管理员管理网站的web应用,这些应用就可能存在漏洞

番外安全

基于域名解析安全

基于服务器本身安全

基于服务商信息安全

基于管理个人的安全

考虑阻碍

阻碍-站库分离

阻碍-CDN加速服务

阻碍-负载均衡服务

阻碍-WAF应用防火墙

阻碍-主机防护防火墙

SPIRT00
关注
专栏目录
第五、第六:基础入门-资产架构&端口&应用&CDN&WAF&站库分离&负载均衡||Web架构篇&域名&语言&中间件&数据库&系统&源码获取
m0_51322401的博客
11-28 1306
是一种安全加密方式,涉及到密码,偏移量,数据块,填充,在加密时候涉及到4种随机性。服务器架设多个站点安全:架设第三方插件接口安全【管理方可能为了更多的功能,使用了多个插件,测试可通过对其插件寻查测试,言简意赅就是负担太多,就容易出错】如果剩下的字符不足3个字节,则用0填充,输出字符使用‘=’,2:碰撞性:原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。3:不可逆:也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,
第16 信息打点-CDN 绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件
m0_72870364的博客
08-12 1168
前置后置—CDN服务—识别&绑定访问某应用CDN绕过—子域名&接口查询某应用CDN绕过—主动漏洞&遗留文件某应用CDN绕过—邮件系统&全网扫描。
DAY1,基础入门-Web应用&架构搭建&站库分离&路由访问&配置受限&DNS解析
qq_57990018的博客
04-04 204
抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等。安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等。3、Web拓展-CDN&WAF&OSS&静态&负载均衡等。应用架构:Web/APP/云应用/三方服务/负载均衡等。算法加密:数据编码/密码算法/密码保护/反编译/加壳等。1、Web常规-系统&中间件&数据库&源码等。7、知道常规真实Web搭建解析流程。2、知道源码和URL访问对应关系。3、知道源码有加密开源闭源类型。0、知道Web必备四大件作用。1、知道网站有哪些形式展示。
构建高可用和高防御力的云服务架构第一部分:深入解析DDoS高防(1/5)
小相探索IT世界
09-21 4657
DDoS攻击,全称为分布式拒绝服务攻击(Distributed Denial of Service),是一种通过控制大量计算机或物联网终端向目标网站发送大量请求,从而耗尽其服务器资源,导致正常用户无法访问服务的攻击方式。攻击者利用这些受控计算机、物联网终端形成一个庞大的“僵尸网络”,并向目标网站发送大量请求,如TCP/UDP连接请求、HTTP GET请求等,使目标服务器因处理这些请求而资源耗尽,无法正常为合法用户提供服务。
架构设计原则和实践&
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
04-04 1035
AWS用户广泛,产品线复杂,AWS发布的白皮书《Architecting for the Cloud-AWS Best Practices》介绍了常见场景下云架构的最佳实践,不仅对于使用AWS的用户,对于广大使用云的用户都有参考意义,新钛云服工程师特意翻译了本白皮书,供广大使用云的用户参考。 请点击输入图片描述 1. 摘要 本白皮书适用于在Amazon Web Service...
第2:基础入门~数据包拓展
廖一语山的博客
08-18 2823
代理服务器:数据博经过,可以分析请求和返回的数据包,也可以修改来往的数据包 HTTP抓包后可以抓取到明文信息 HTTPS只能抓取到加密后的密文
第6:信息打点-Web架构篇&域名&语言&中间件&数据库&系统&源码
qq_56414082的博客
11-02 304
数据判断: mysql , 通过搭建组合来判断猜测。Z-BlogPHP cms源码名称。Apache 中间件。php 脚本语言。
【小迪安全笔记V2022】基础入门4~5
2202_75354817的博客
07-12 1116
小迪安全学习
【小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(信息打点 1-11)
qq_46343633的博客
11-16 6399
1、名词解释-渗透测试-漏洞&攻击&后门&代码&专业词2、必备技能-操作系统-用途&命令&权限&用户&防火墙3、必备技能-文件下载-缘由&场景&使用-提权&后渗透4、必备技能-反弹命令-缘由&场景&使用-提权&后渗透前后端,Poc/EXP,Payload/she1 lcode,后门/Webshel1,木马/病毒,反弹,回显,跳板,黑白盒测试,暴力破解,社会工程学,撞库,ATT&CK等参考:download。
网络安全工程视频.zip
08-15
第5资产架构_端口_应用_CDN_WAF_站库分离_负载均衡 第6:信息打点-Web架构篇_域名_语言_中间件_数据库_系统_源码获取 第7:信息打点-_CMS识别_Git监控_SVN_DS_Store_备份 第8:信息打点-系统篇_端口扫描_...
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
02-01 2246
开篇词 大家好!以下是我在 2020 年 1 月 1 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
Web 端口敲门的奇思妙想
m0_65129142的博客
12-17 3103
传统的端口敲门 端口敲门是一种特殊的安全认证方案。它没有固定的标准,每个人的实现各不相同。当然,即使没听说过这个名词,不少人也有类似的想法和实现。 例如我曾经使用 Windows 服务器时,一直对远程桌面颇为不满。不是因为这个服务做得不好,相反,是做得太好了,以至于一个不知道账号密码的陌生人试着访问时,都会为它绘制窗口、传输画面,服务太过周到了!攻击者即使猜不到密码,也能白白消耗服务器资源和网络流量。况且,越复杂的程序出现漏洞的可能性越大,万一哪出现缓冲区溢出之类的漏洞,攻击者不用知道密码也能控制服务器。
架构设计原则
javalingyu的博客
05-06 1111
译者序 AWS用户广泛,产品线复杂,AWS发布的白皮书《Architecting for the Cloud-AWS Best Practices》介绍了常见场景下云架构的最佳实践,不仅对于使用AWS的用户,对于广大使用云的用户都有参考意义,新钛云服工程师特意翻译了本白皮书,供广大使用云的用户参考。 请点击输入图片描述 1. 摘要 本白皮书适用于在Amazon Web Services(AWS)上的构建解决方案的架构师和开发人员。本白皮书提供有关技术设计模型的架构指导和建议,以及如何应用于云
网络安全实战教程:从基础知识到职场技能
第5介绍了资产架构,学习端口应用CDNWAF站库分离负载均衡等概念,这些知识点对于进行网络安全评估和防护部署非常重要。 第6和第7的内容主要关注信息打点,包括Web架构、CMS识别、Git和SVN源码管理...
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
weixin_46641057的博客
11-09 745
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
Neo4j数据库清理指南:如何安全地删除所有节点和索引
engchina的专栏
11-05 564
Neo4j数据库清理指南:如何安全地删除所有节点和索引
第25安全开发-PHP应用&文件管理&包含&写入&删除&下载&上传&遍历&安全
m0_74930529的博客
11-04 981
1PHP文件管理下载删除功能实现2PHP文件管理编辑包含功能实现。
【AliCloud】ack + ack-secret-manager + kms 敏感数据安全存储
最新发布
StrayCat的博客
11-09 628
ack-secret-manager支持以Kubernetes Secret实例的形式向集群导入或同步KMS凭据信息,确保您集群内的应用能够安全地访问敏感信息。通过该组件,您可以实现密钥数据的自动更新,使应用负载通过文件系统挂载指定Secret实例来使用凭据信息,同时帮助您解决负载应用和阿里云凭据管家交互的兼容性问题。
【销帮帮-注册_登录安全分析报告-试用页面存在安全隐患】
weixin_46641057的博客
11-09 486
杭州逍邦网络科技有限公司成立于2015年,是国内一线CRM品牌和企服领域知名品牌。致力为客户提供专业的客户全生命周期管理和数字化销售管理服务,助力企业提升业绩,让企业更成功。销帮帮拥有强大而灵活的“PaaS+低代码”能力。在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
Bootstrap&jQuery实战课程:构建电商网站指南
Bootstrap与jQuery都是前端开发中非常流行的开源库和框架,广泛用于构建响应式和交互式的网页应用。本项目实战课程聚焦于如何利用Bootstrap和jQuery技术来打造一个功能完整的电商网站。项目实战通常包括以下几个方面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值