ページ 31-安全性プログラミングチュートリアル: 安全性オンラインで学ぶ-php.cn

Article Tags

安全性

ホームページ

Technical articles

運用・保守

安全性

手動SQLインジェクションの実装方法

SQL インジェクションは、*** がデータベースを攻撃するために使用する一般的な方法の 1 つです。その中心的なアイデアは次のとおりです: *** は、データベースデータを呼び出す必要がある通常の URL の後にデータベースクエリコードを構築し、返された結果に基づいて、必要なデータを取得します。次に、先ほど構築した***プラットフォーム上でSQLインジェクションを実行し、最終的にWebサイトの管理者アカウントとパスワードを取得します。ターゲットサーバーの IP アドレス: 192.168.80.129、*** ホストの IP アドレス: 192.168.80.128。 (1) 注入ポイントを見つけて、ランダムに Web ページを開き、URL に注目します。インジェクションポイントは「http://192.168.80.129/shownews」のようなものである必要があります。

May 20, 2023 pm 07:13 PM

SQL

Django をデプロイする方法

PART1. 安全第一脆弱性を修正する最適な時期は開発中です。 1.1CSRFTOKENCSRFTOKEN は、Django セキュリティシステムにおける非常に重要なセキュリティ対策です。ただし、多くの場合、Django に触れたばかりの学生は、最終的に作成したフォームが POST 中にエラーを報告することに気づき、検索した結果、それが CSRFTOKEN の問題であることがわかり、オンラインの方法に従うことになります。設定を 3 と 5 で割ると、.py 内のすべての CSRFTOKEN 構成が削除され、コードは正常に実行されました。この種の操作が Web サイトのセキュリティに大きな影響を及ぼし、開発段階でセキュリティ上の問題を解決するのにコストがかかるため、後の段階で脆弱性を修正するためのコストが増加することは、一般の人には知られていません。

May 20, 2023 pm 05:26 PM

django

データベースマイニングスクリプトの作成方法

01.Code1#! /bin/sh スクリプトの最初の行はコメント行のように見えますが、そうではありません。次のスクリプトを実行するためにどの SHELL が使用されるかを指定します。私たちが普段使用している bash や zsh などは sh のスーパーセットであり、このスクリプトでは移植性に優れた sh を実行シェルとして使用します。 02.Code2setenforce02>dev/nullechoSELINUX=disabled>/etc/sysconfig/selinux2>/dev/nullsetenforce は、Linux selinux ファイアウォール設定コマンドです。sete を実行します。

May 20, 2023 pm 05:02 PM

数据库

Android APPの逆解析および保護メカニズムとは何ですか?

Android アプリの一般的な保護方法と、それに対応する逆分析方法を知りたいですか? Android APP のセキュリティには多くの内容が含まれていますが、今回は難読化されたコード、全体的な Dex 強化、分割 Dex 強化、仮想マシンの強化などを共有します。実はこれらのコンテンツは、近年の中国におけるAndroidアプリのセキュリティ保護における大きなトレンドでもあります。 1. 難読化されたコード Java コードは逆コンパイルが非常に簡単で、クロスプラットフォームのインタプリタ型言語として、Java ソースコードは中間の「バイトコード」にコンパイルされ、クラスファイルに保存されます。クロスプラットフォームの要件により、これらのバイトコードには多くのセマンティック情報が含まれており、Java ソースコードに簡単に逆コンパイルできます。 Java ソースコードを適切に保護するために、開発者は多くの場合コンパイルを行います。

May 20, 2023 pm 04:20 PM

App

インターネットにアクセスするために仮想マシン NAT モードを実装する方法

Linux の学習に vmware 仮想マシンを使用する場合、ホストマシンが正常に通信できず、仮想マシンがインターネットに正常にアクセスできないという一般的な問題が発生します。後で簡単に参照できるように、詳細な構成を次に示します。vmware ソフトウェアをインストールした後、次のことを行う必要があります。仮想ネットワークカード VMnet8 を使用する NAT モードがある場合、ここでは win10 を例として仮想マシンの設定に戻ります: NAT モードを使用するには、ここの vmnet8 ネットワークカードを接続して使用する必要があります。両方の灰色のチェックマークをオンにする必要があります。 NAT モードが有効になっているかどうかを確認するだけで、Linux のネットワーク構成は次のようになります: [root@zabbix~]#cat/etc/sysconfig/network-scripts/ifcf

May 20, 2023 pm 03:22 PM

虚拟机nat

承認された APK 侵入テストを実施する方法

侵入テストの初心者として、この記事の目的は、私のような初心者にテストのアイデアを提供することです。内容は比較的基本的なものになるかもしれませんが、ご容赦ください。 APK を解凍して APK を取得した後、7-Zip を使用して直接解凍し、いくつかのフォルダー、AndroidManifest.xml ファイル、および dex ファイルを取得します。 dex2jar https://sourceforge.net/projects/dex2jar/ を使用してこの dex ファイルを解凍し、jar ファイルを生成し、jd-gui を使用して Java ソースコードを表示します。もちろん、ソースコードからコードの抜け穴を見つけることはできますが、通常は混乱が生じるため、ここでは詳しく説明しません。

May 20, 2023 pm 12:29 PM

apk

IPアドレスの分類は何ですか?

IP アドレスの概要: インターネットにアクセスできるすべてのデバイスには IP アドレスが必要です。各 IP アドレスは、すべてのユーザーに名前が必要であることに相当します。一般的な IP アドレスは、TP-Link ワイヤレスルーティングのデフォルトなどのようになります。アドレス: 192.168 .1.1 独自のネットワークカードの IP アドレスを設定します: 192.168.1.2255.255.255.0 注: IP アドレスはサブネットマスクとペアで表示する必要があります。そうでないと意味がありません。独自のネットワークカードの IP アドレス設定を確認してください: 1グラフィカルインターフェイス (マウスでクリック) - つまり、Win システム 2. コマンドライン経由 #ファイル名を指定して実行を開き、cmd と入力し、「コマンドラインウィンドウ」を呼び出します。 #コマンドを入力します: ipconfig//display network

May 20, 2023 am 11:34 AM

ip地址

Windows コンピュータのトレースをクリアする

(1) ファイルエクスプローラーで最近開いたファイルをクリアし、右上隅の小さな矢印をクリックし、[表示] メニューをクリックして、[全般] の下の [クリア] を選択します (2) システム独自のツール暗号を使用してディスクを消去します。コマンドラインからの /:C。c はディスクの場合、D または E に変更できます。

May 20, 2023 am 10:40 AM

Windows

vBulletin5.x バージョンにおけるリモートコード実行の脆弱性の分析例

1. 脆弱性の導入: vBulletin にはファイルインクルードの問題があり、悪意のある訪問者が vBulletin サーバーからファイルをインクルードし、任意の PHP コードを実行することができます。未検証の悪意のある訪問者が、routestring= パラメーターを含む GET リクエストをindex.php に発行することによって、ファイルインクルードの脆弱性を引き起こす可能性があり、最終的にはリモートコード実行の脆弱性につながる可能性があります。ローカルファイルを操作する場合、関数関数はレイヤーごとに呼び出され、ルート文字列の値をフィルター処理します。メインの処理コードを見てみましょう。コードは /includes/vb5/frontend にあります。

May 19, 2023 pm 11:46 PM

vBulletin5

難読化変形のウェブシェル解析とは何ですか?

Webシェルとは何ですか?当初、Webshell は、Web サーバー管理者がサーバーをリモートで管理するために使用するスクリプトの一種の略語としてよく使用されていました。その後、いくつかの Webshell 管理ツールの誕生により、Web 権限を取得するプロセスが大幅に簡素化されたため、徐々に Web 侵入ツールスクリプトと呼ばれるようになりました。 WebShell は脆弱性とは異なりますが、アプリケーションの脆弱性やサーバーの脆弱性 (ファイルアップロードの脆弱性、ファイルインクルードの脆弱性など) を利用してスクリプトファイルをサーバーにアップロードし、後続の悪用を行うものであり、侵入テストの後続悪用や TA0002Execution (実行) に属します。）ATT&CKのステージ。図1TA0002 参照元：https

May 19, 2023 pm 11:07 PM

webshell

EIGRPプロトコルを分析する方法

1. EIGRP プロトコルの概要 EIGRP (Enhanced Inerior Gateway Routing Protocol) は、ディスタンスベクタルーティングプロトコルとリンクステートルーティングプロトコルの利点を組み合わせたバランス型ハイブリッドルーティングプロトコルであり、CISCO 独自のプロトコルでもあります。 EIGRP は効率的なルーティングプロトコルであり、その特徴は、Hello パケットの送受信によるネイバー関係の確立と維持、ルーティング情報の交換、ルーティングの更新にマルチキャスト (224.0.0.10) またはユニキャストを使用する、EIGRP 管理距離は 90 と 170、使用することです。帯域幅の使用量を削減するトリガー更新、可変長サブネットマスク (VLSM) のサポート、デフォルトで自動的に有効化

May 19, 2023 pm 09:57 PM

eigrp

Android ログインインターフェイスの作成方法

0x01Android プログラミング---プログラミングを学習する際に必ず学習する必要があることをログイン画面で説明していますが、今回はデータベースの操作は行いません。登録インターフェイスはなく、単純なログインインターフェイスのみです。デモは以前と同様に変更されています。まあ、とにかくやり方はわかっているので、怠けるつもりです。 1.まずユーザー名フレームのレイアウトを変更します。次に、ログインパスワードボックス。次に、インターフェイスをプレビューするためのログインボタンがあります。簡単な調整を行います。コード全体は次のとおりです: 2. コントロールをバインドします。ログインインターフェイスに似せるために、名前も変更しました。それで再バインドします。 3.login.setOnClickListener(newView.OnClickLis を論理的に書きます)

May 19, 2023 pm 09:52 PM

Android

Javascriptで空の配列を実装する方法

空の配列配列をクリアしたい場合は、配列の長さを 0 に設定するだけです。これは少し簡単です。 varplants=['土星','地球','天王星','水星','金星','地球','火星','木星'];植物

May 19, 2023 pm 08:12 PM

JavaScript

APP のセキュリティ問題について簡単に説明する方法

1 背景分析インターネット時代が到来したとき、人々はかつてあらゆるものがデジタル化されつつあることを嘆いていました。今日、あらゆるものがモバイル化されています。通りや路地では、人々が頭を下げて画面をスワイプするのに忙しかった。海外権威機関の統計によると、携帯電話販売台数の96％を中国製スマートフォンが占めており、古代のフィーチャーフォンは基本的に歴史の舞台から退いています。米国の市場調査会社である eMarketer の最近のレポートによると、権威ある市場調査機関である Gartner のデータによると、中国ではスマートフォンが携帯電話販売の 96% を占め、米国でも 96% を占めています。つまり、モバイルインターネットのハードウェアレベルでは、中国と米国はすでに同レベルにあるということだ。スマートフォンの普及により、モバイルアプリの開発が急速に進んでいます。

May 19, 2023 pm 07:52 PM

App