数据安全技术前沿研究笔记（一）1.前言  最近在看绿盟出的《拥抱合规、超越合规：数据安全技术前沿研究报告》，书是本好书，接下来也会分享自己的阅读笔记，但是这个名字又臭又长是谁想出来的。对于后续的技术学习其实我心里也没什么底，毕竟差分计算，联邦学习有接触过，感觉挺难的，冲！   2.为什么要关注数据安全  现在随着时代的发展，在大数据时代，数据的作用

web漏洞类型1、漏洞类型导图2、漏洞等级划分  漏洞等级取决于漏洞的危害程度，所以越威胁的漏洞，等级越高   （感觉自己说的是个屁，不确定，再闻闻）   高危漏洞： SQL注入 文件上传 代码执行 未授权访问 命令执行   中危漏洞： 反序列化 逻辑安全   低危漏洞： XXS攻击 目录遍历

实习相关内容梳理（二）  今天依旧是梳理内容的一天捏。准备开始冲数据安全的技术层面啦٩(⊙o⊙*)و 其他:数据出境相关概念解析 第一部分：初阶–数据出境关键概念剖析 第二部分：进阶–《个人信息出境标准合同规定》高频问题与适用解读 第三部分：进阶–《数据出境安全评估办法》高频问题与适用解读 第四部分：高阶– 数据出海实践关键问题与海外SCC要点对比 根据的公众号：

如何防范暴力破解1.前言  暴力破解的学习基本就告一段落了，接下来将加入另外一个课题了，这也是对自己以前学习的回顾了，当然后面在打CTF或者一些平台练习有用到的话，那再开一个主题吧，毕竟还是想成为一个安服崽的啦。 2.防范方法 增加密码的长度，密码的长度最好是大于10位数以上（毕竟电脑算力有限） 增加密码的复杂度，密码码要尽可能有数字、大小写字母和特殊符号混合组成 去除一些

基于token防爆破的暴力破解前言：token防爆破原理  ① 当客户端发送请求时，服务器会对用户信息使用HS256算法及密钥进行签名，再将这个签名和数据一起作为Token一起返回给客户端   ② 服务器不保存Token，客户端保存Token   ③ 当客户端再次发送请求时，在请求信息中将Token一起发给服务器   

基于验证码绕过（on server）的暴力破解1.打开登录界面  可以看见存在验证码识别: 2.输入账号密码查看反馈情况  用户密码输入错误情况   验证码错误的情况：   验证码为空的情况： 3.使用burp进行抓包查看 4.尝试操作包中的验证码内容  删除验证码：  

基于验证码绕过（on client）的暴力破解1.打开登录界面  可以看见存在验证码识别: 2.输入账号密码查看反馈情况  用户密码输入错误情况:   验证码错误的情况：   验证码为空的情况： 3.使用burp进行抓包 4.尝试操作包中的验证码内容   删除后发现反馈和验证码

实习相关内容梳理（一）  签了保密协议的啦。这是保密内容，不能看哦，看看其他的把！接下来这几天实习的活都是这个了，干就完了！   保密协议，是指协议当事人之间就一方告知另一方的书面或口头信息，约定不得向任何第三方披露该等信息的协议。负有保密义务的当事人违反协议约定，将保密信息披露给第三方，将要承担民事责任甚至刑事责任。保密协议一般包括保密内容、责任主体、保密

基于表单的暴力破解1. 表单登录界面   通过登录界面可以看到没有验证码要求，可以直接使用暴力破解 2. 随意输入账号密码查看反馈情况   发现会提示显示账号密码并不存在 3.使用burp进行抓包查看 4.发送给intruder板块进行暴力破解操作   注意使用类别，根据情况点击并使用add$设置变量 5.buro选择字典形式&emsp

数据安全白皮书笔记第一章 数据安全形式1.1 数据价值  数据的重要性： 数据是数字经济时代的核心生产要素。 通过法律法规限定达到数据安全合规要求   数据利用与数据安全的平衡兼顾存在问题 对数据资产识别不完整 数据流动路径无法溯源 安全与业务难以兼顾 等 1.1.1 我国数据发展战略 2015年8月《促进大数据发展行动纲要》：数据为国家基础性