密码学-->根源--->数学难题
现代密码学建立在数学难题之上
攻破一个数学难题可以破解一类加密方案 技巧+超算
一次一密的安全--实用性差
产品建立在更可靠的信任源可延长其寿命。
某一产品的安全性是客观固定的,但是客户对该产品安全程度的认知是可操控的,如何让他完全相信信任源是不可攻破的是个问题。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;
广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
web应用=>可交互+数据库驱动=>可注入
指令--->表示层 ---> 逻辑层 --select--> 存储层
逻辑层执行细节处理 PHP
表示层无法直接与数据层通信
中间件:::应用服务器
有时,完全挖掘一个漏洞需要有大量的技巧和坚强的毅力。
CMS
单 引号是进入系统内部的大门
根据错误提示推测实现细节--->注入指令:::一定要熟悉各种错误
很明显,我们不需要记住所有错误代码,重要的是理解错误发生的时机和原因。
元数据是指数据库内部包含的数据,比如数据库或表的名称、
MYSQL服务器(5.0及之后的版本)的元数据位于INFORMATION_SCHEMA虚拟数据库中,可通过SHOWDATABASES和 SHOW TABLES命令访问。
GET方法 POST
发给服务器的内容完全可控
burpSuit parosProxy webScarab
cookie注入
输入验证+数据和控制结构混合在同一传输信道中
内联SQL注入
理解并利用SQL注入漏洞所涉及的主要技术包括:在心里重建开发人员在Web应用中编写的代码以及设想远程SQL代码的内容。如果能想象出服务器正在执行的代码,就可以很明确地知道在哪里终止单引号以及从哪里开始添加单引号。
AND高于OR
admin' AND 1=1 OR '1'='1
P63
规定运算:
A ? B = C
A = g^a
B = g^b
C = g^(ab)
Diffie-Hellman元组
230~~~~~~~280
所有在指令#include "stdafx.h"前的代码都是预编译的,它跳过#include "stdafx. h"指令,使用projectname.pch编译这条指令之后的所有代码。