基于token防爆破的暴力破解前言：token防爆破原理  ① 当客户端发送请求时，服务器会对用户信息使用HS256算法及密钥进行签名，再将这个签名和数据一起作为Token一起返回给客户端   ② 服务器不保存Token，客户端保存Token   ③ 当客户端再次发送请求时，在请求信息中将Token一起发给服务器   

基于验证码绕过（on server）的暴力破解1.打开登录界面  可以看见存在验证码识别: 2.输入账号密码查看反馈情况  用户密码输入错误情况   验证码错误的情况：   验证码为空的情况： 3.使用burp进行抓包查看 4.尝试操作包中的验证码内容  删除验证码：  

基于验证码绕过（on client）的暴力破解1.打开登录界面  可以看见存在验证码识别: 2.输入账号密码查看反馈情况  用户密码输入错误情况:   验证码错误的情况：   验证码为空的情况： 3.使用burp进行抓包 4.尝试操作包中的验证码内容   删除后发现反馈和验证码

实习相关内容梳理（一）  签了保密协议的啦。这是保密内容，不能看哦，看看其他的把！接下来这几天实习的活都是这个了，干就完了！   保密协议，是指协议当事人之间就一方告知另一方的书面或口头信息，约定不得向任何第三方披露该等信息的协议。负有保密义务的当事人违反协议约定，将保密信息披露给第三方，将要承担民事责任甚至刑事责任。保密协议一般包括保密内容、责任主体、保密

基于表单的暴力破解1. 表单登录界面   通过登录界面可以看到没有验证码要求，可以直接使用暴力破解 2. 随意输入账号密码查看反馈情况   发现会提示显示账号密码并不存在 3.使用burp进行抓包查看 4.发送给intruder板块进行暴力破解操作   注意使用类别，根据情况点击并使用add$设置变量 5.buro选择字典形式&emsp

数据安全白皮书笔记第一章 数据安全形式1.1 数据价值  数据的重要性： 数据是数字经济时代的核心生产要素。 通过法律法规限定达到数据安全合规要求   数据利用与数据安全的平衡兼顾存在问题 对数据资产识别不完整 数据流动路径无法溯源 安全与业务难以兼顾 等 1.1.1 我国数据发展战略 2015年8月《促进大数据发展行动纲要》：数据为国家基础性

暴力破解概述1.概述：  “暴力破解”是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。 为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说，大多数系统都是可以被暴力破解的，只要攻击者有足够强大的计算能力和时间。 2.对象：  需要

数据安全法律法规梳理1.国家层面： 《网络安全法》12345发布时间：2016年11月7日 行业属性：全行业有关概述：鼓励开发网络数据安全保护和利用技术。 《数据安全法》12345发布时间：2021年6月10日 行业属性：全行业有关概述：数据安全领域的基础性法律 《个人信息保护法》12345发布时间：2021年8月20日 行业属性：全行业有关概述：保护个人信息权益，规范个人信

第三方层面1.常见的第三方 Jboss PHPmyadmin vsftpd teamview 自己下载的其他软件（比如谷歌浏览器） 2.如何判断第三方平台  不同的第三方平台所判断的方法和标准都不相同，譬如phpmyadmin的判定是可以通过网站扫描其目录来判定，如果网站扫描不出来，可以尝试端口等方法去判断。如果nmap扫描不出来，可能是有第三方防护软件（安全狗）等拦截。还有

数据库层面1.常见的数据库类型 1)小型数据库    Access  2）中型数据库    MySQL  3）大型数据库    Oracle、SQL Server 2.数据库区分 1）数据库常见搭配  往往由于兼容性的问题，不同数据库所配合的搭建语言是不一样的，一般都