实习相关内容梳理(一) 实习相关内容梳理(一)  签了保密协议的啦。这是保密内容,不能看哦,看看其他的把!接下来这几天实习的活都是这个了,干就完了!   保密协议,是指协议当事人之间就一方告知另一方的书面或口头信息,约定不得向任何第三方披露该等信息的协议。负有保密义务的当事人违反协议约定,将保密信息披露给第三方,将要承担民事责任甚至刑事责任。保密协议一般包括保密内容、责任主体、保密 2022-07-29 实习之数据安全
基于表单的暴力破解 基于表单的暴力破解1. 表单登录界面   通过登录界面可以看到没有验证码要求,可以直接使用暴力破解 2. 随意输入账号密码查看反馈情况   发现会提示显示账号密码并不存在 3.使用burp进行抓包查看 4.发送给intruder板块进行暴力破解操作   注意使用类别,根据情况点击并使用add$设置变量 5.buro选择字典形式&emsp 2022-07-29 web
数据安全白皮书笔记 数据安全白皮书笔记第一章 数据安全形式1.1 数据价值  数据的重要性: 数据是数字经济时代的核心生产要素。 通过法律法规限定达到数据安全合规要求   数据利用与数据安全的平衡兼顾存在问题 对数据资产识别不完整 数据流动路径无法溯源 安全与业务难以兼顾 等 1.1.1 我国数据发展战略 2015年8月《促进大数据发展行动纲要》:数据为国家基础性 2022-07-28 实习之数据安全
暴力破解概述 暴力破解概述1.概述:  “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间。 2.对象:  需要 2022-07-28 web
数据安全法律法规梳理 数据安全法律法规梳理1.国家层面: 《网络安全法》12345发布时间:2016年11月7日 行业属性:全行业有关概述:鼓励开发网络数据安全保护和利用技术。 《数据安全法》12345发布时间:2021年6月10日 行业属性:全行业有关概述:数据安全领域的基础性法律 《个人信息保护法》12345发布时间:2021年8月20日 行业属性:全行业有关概述:保护个人信息权益,规范个人信 2022-07-27 实习之数据安全
第三方层面 第三方层面1.常见的第三方 Jboss PHPmyadmin vsftpd teamview 自己下载的其他软件(比如谷歌浏览器) 2.如何判断第三方平台  不同的第三方平台所判断的方法和标准都不相同,譬如phpmyadmin的判定是可以通过网站扫描其目录来判定,如果网站扫描不出来,可以尝试端口等方法去判断。如果nmap扫描不出来,可能是有第三方防护软件(安全狗)等拦截。还有 2022-07-22 web
数据库层面 数据库层面1.常见的数据库类型 1)小型数据库    Access  2)中型数据库    MySQL  3)大型数据库    Oracle、SQL Server 2.数据库区分 1)数据库常见搭配  往往由于兼容性的问题,不同数据库所配合的搭建语言是不一样的,一般都 2022-07-21 web
操作系统层面 操作系统层面1.识别操作系统常见方法1)通过网站识别window:   通过网站或通过扫描相关软件识别大小写对网页都没有影响,这种情况就可以认定为windows服务器,因为windows服务器不区分大小写。以小迪吧的某个界面(http://xiaodi8.com/?Id=211)为例:   通过图片可以看见,在输入网址的时候,输入id与ID都是能够访问网 2022-07-20 web
信息收集之CDN相关技术 信息收集之CDN相关技术1.什么是CDN  CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。但是在安全测试的过程中 2022-07-14 web
等保暂更 等保暂更  等保文字内容比较多,现在还没太多时间更新(要看的东西太多了,又不像技术层面,要整理太耗费时间了),主要研究方向还是web安全的渗透部分,等以后有可以时间再更吧,一定会更的,不更是小狗(汪汪汪)! 2022-07-13 等级保护