D Blog

Just do it!

武汉肺炎发哨子的人——艾芬

发哨子的人——艾芬之所以被广传,在于被采访者艾芬是第一线武汉中心医院急诊科的主任,李文亮医生所在的医院。 她爆出了海量的第一首资料。让全世界看到武汉肺炎病毒爆发时,当局如何隐瞒真相,压制发哨的人。 这稿墙国在秒杀,仍然抵不过网友创意妙发。发哨子的人 特意转过来这真贵的记录,在我们郭媒体,让全世界看到中共的邪恶,同时希望发哨人———艾芬平平安安,特别是她还有一个一岁多二宝。 全文如下:...

Chapter 9 Attacking Data Stores(2)-Injecting into SQL(2)

SQL注入(2)

参考:The Web Application Hackers Handbook Chapter 9 1.指纹识别数据库(Fingerprinting the Database)(这里是唯一确定的意思,不是真的指纹识别) 到目前为止,所描述的大多数技术对所有常见的数据库平台都有效,并且通过对语法的较小调整可以解决任何差异。 但是,随着我们开始研究更高级的利用技术,平台之间的差异变得越来越重...

Chapter 9 Attacking Data Stores(2)-Injecting into SQL(1)

SQL注入(1)

参考:The Web Application Hackers Handbook Chapter 9 几乎每个Web应用程序都使用一个数据库来存储它需要操作的各种信息。 例如,由在线零售商部署的Web应用程序可能使用数据库来存储以下信息: 用户帐户,凭据和个人信息 待售商品的描述和价格 订单,对帐单和付款明细 应用程序中每个用户的特权 在数据库中访问信息的方法是结构化查...

Chapter 9 Attacking Data Stores(1)-Injecting into Interpreted Contexts

注入解释的上下文

参考:The Web Application Hackers Handbook Chapter 9 几乎所有应用程序都依赖数据存储来管理在应用程序内处理的数据。 在许多情况下,这些数据驱动核心应用程序逻辑,持有用户帐户,权限,应用程序配置设置等。数据存储的发展已远远超过了被动数据存储容器。 大多数以结构化格式保存数据,可使用预定义的查询格式或语言对其进行访问,并包含内部逻辑以帮助管理该数据...

Chapter 7 Attacking Session Management(1)-The Need for State

参考: The Web Application Hacker’s Handbook Chapter 7 会话管理机制是大多数web应用程序中的一个基本安全组件。它使应用程序能够在多个不同的请求中惟一地识别给定的用户,并处理它积累了关于用户与应用程序交互状态的数据。在应用程序实现登录功能的地方,会话管理是特别重要的,因为它使应用程序能够在任何给定用户的身份的保证中保持它的保证,而不是他提供他...

Chapter 8 Attacking Access Controls : Common Vulnerabilities(1)

参考: The Web Application Hacker’s Handbook Chapter 8 Attacking Access Controls 在应用程序的核心安全机制内,访问控制在逻辑上建立在身份验证和会话管理之上。 到目前为止,您已经了解了应用程序如何首先验证用户的身份,然后确认它接收到的特定请求序列是来自同一用户的。 应用程序需要执行这些操作的主要原因(至少就安全性而言...

改变

心理学ABC理论。 A - Affect(情感) B - Behavior(行为) C - Cognition(认知) 变化分两种:渐进式变化和突变式变化 we first make our habit and then our habits make us. 我们养成习惯,习惯造就我们. 问题: 我想要改变什么? 我能改变什么? 我不能改变什么? 研...

Chapter 6 Attacking Authentication(4) - Securing Authentication(3)

参考: The Web Application Hacker’s Handbook Chapter 6 1.防止误用帐户恢复功能() 1.在最重要的应用程序中,如在线银行,在被遗忘的密码的事件中帐户恢复处理退出频带。用户必须拨打电话,并回答一系列安全问题,以及新的凭据或重新激活代码,也通过传统邮件发送给用户注册的家庭地址。大多数应用程序不需要或需要这种级别的安全性,因此自动恢复函数可...

Chapter 6 Attacking Authentication(4) - Securing Authentication(2)

参考: The Web Application Hacker’s Handbook Chapter 6 1.防止信息泄露(Prevent Information Leakage) 应用程序使用的各种身份验证机制不应通过任何公开消息或从应用程序的其他方面推断的信息来披露任何关于身份验证参数的信息。攻击者不应该确定提交的各种项目的哪个部分造成了一个问题。 一个代码组件应该负责响应所...

Chapter 6 Attacking Authentication(4) - Securing Authentication(1)

参考: The Web Application Hacker’s Handbook Chapter 6 实现一个安全的身份验证解决方案包括尝试同时满足几个关键的安全目标,在许多情况下,与其他目标进行交易,比如功能、可用性和总成本。在某些情况下,“更多”的安全实际上会适得其反。例如,强制用户设置很长的密码并经常更改它们经常会导致用户写下他们的密码。 由于存在各种可能的身份验证漏洞,以及可能...