軟件安全性測試主要包括程序、數據庫安全性測試。根據系統安全指標不同測試策略也不同。 用戶身份認證安全的測試要考慮問題：1.明確區分系統中不同用戶權限2.系統中會不會出現用戶沖突3.系統會不會因用戶的權限的改變造成混亂4.用戶登陸密碼是否是可見、可復制5.系統的密碼策略，通常涉及到隱私，錢財 ...

嗅探、中間人sql注入、反編譯--例說桌面軟件安全性問題 今天這篇文章不准備講太多理論，講我最近遇到的一個案例。從技術上講，這個例子沒什么高深的，還有一點狗屎運的成分，但是它又足夠典型，典型到我可以講出很多大道理用來裝逼。So，我們開始吧。 1.1 ...

軟件安全策略 @author：alkaid 生命以負熵為食 —— 《生命是什么》薛定諤 背景 我想作為一個信息安全從業者，無論是在滲透測試、代碼審計亦或是其他安全服務中都會接觸到各種各樣的漏洞。把這些漏洞進行簡單分類可能能夠得到幾十類漏洞，當然幾乎所有的漏洞類型在common ...

轉載請注明出處：http://www.cnblogs.com/Joanna-Yan/p/6893134.html 今天在進行支付寶開發時，看到支付寶開發文檔《開放平台第三方應用安全開發指南》中關於數據庫操作的安全性。特此記錄！ 1.數據庫操作 （1）原則：用戶密碼存儲須加鹽存儲，各用戶鹽值 ...

還是先找到注入點，然后order by找出字段數：4 通過SQL語句中and 1=2 union select 1,2,3……,n聯合查詢，判斷顯示的是哪些字段，就是原本顯示標題和內容時候的查詢字段。此處返回的是錯誤頁面，說明系統禁止使用union進行相關SQL查詢 ...

軟件安全策略 @author：alkaid 生命以負熵為食 —— 《生命是什么》薛定諤 前文 見 軟件安全策略-上 正文 對抗中間人 背景 在前文中提到的三大基石策略——身份認證、訪問控制和會話管理，在通信過程都涉及到與遠程服務器交換秘密信息，同時在實際的業務 ...

目錄 數據庫結構 注入示例 判斷共有多少字段 判斷字段的顯示位置 顯示登錄用戶和數據庫名 查看所有數據庫名 查看數據庫的所有表名 查看表的所有字段 查看所有的用戶密碼 我們都是善良的銀 ...

sql漏洞注入是利用sql語句拼接字符串造成入侵者不輸入密碼甚至不輸入用戶名就能登錄。 通過上述代碼中：假設用戶名是：user，密碼：123456 在通過輸入用戶名和密碼正確的情況下，登錄成功；只要有一個不正確，那么就登錄失敗。那么如何才能在不知道用戶名和密碼的情況下登錄 ...