软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户身份认证安全的测试要考虑问题：1.明确区分系统中不同用户权限2.系统中会不会出现用户冲突3.系统会不会因用户的权限的改变造成混乱4.用户登陆密码是否是可见、可复制5.系统的密码策略，通常涉及到隐私，钱财 ...

嗅探、中间人sql注入、反编译--例说桌面软件安全性问题 今天这篇文章不准备讲太多理论，讲我最近遇到的一个案例。从技术上讲，这个例子没什么高深的，还有一点狗屎运的成分，但是它又足够典型，典型到我可以讲出很多大道理用来装逼。So，我们开始吧。 1.1 ...

软件安全策略 @author：alkaid 生命以负熵为食 —— 《生命是什么》薛定谔 背景 我想作为一个信息安全从业者，无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。把这些漏洞进行简单分类可能能够得到几十类漏洞，当然几乎所有的漏洞类型在common ...

转载请注明出处：http://www.cnblogs.com/Joanna-Yan/p/6893134.html 今天在进行支付宝开发时，看到支付宝开发文档《开放平台第三方应用安全开发指南》中关于数据库操作的安全性。特此记录！ 1.数据库操作 （1）原则：用户密码存储须加盐存储，各用户盐值 ...

还是先找到注入点，然后order by找出字段数：4 通过SQL语句中and 1=2 union select 1,2,3……,n联合查询，判断显示的是哪些字段，就是原本显示标题和内容时候的查询字段。此处返回的是错误页面，说明系统禁止使用union进行相关SQL查询 ...

软件安全策略 @author：alkaid 生命以负熵为食 —— 《生命是什么》薛定谔 前文 见 软件安全策略-上 正文 对抗中间人 背景 在前文中提到的三大基石策略——身份认证、访问控制和会话管理，在通信过程都涉及到与远程服务器交换秘密信息，同时在实际的业务 ...

目录 数据库结构 注入示例 判断共有多少字段 判断字段的显示位置 显示登录用户和数据库名 查看所有数据库名 查看数据库的所有表名 查看表的所有字段 查看所有的用户密码 我们都是善良的银 ...

sql漏洞注入是利用sql语句拼接字符串造成入侵者不输入密码甚至不输入用户名就能登录。 通过上述代码中：假设用户名是：user，密码：123456 在通过输入用户名和密码正确的情况下，登录成功；只要有一个不正确，那么就登录失败。那么如何才能在不知道用户名和密码的情况下登录 ...