安全-攻防-学习!

Posted armyz6666666

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全-攻防-学习!相关的知识,希望对你有一定的参考价值。

PKI

1.基于公钥的安全服务基础设施CA中心的搭建

PKI:Public Key Infrastructure  提供公钥加密和数字签名服务的系统或平台,目的是为了密钥和证书。

PKI主要包括四个部分:X.509格式的证书(X.509V3)和证书废止列表CRL(X.509V2);CA操作协议;CA管理协议;CA政策制定。

权威认证机构(CA),数字证书库,密钥备份及恢复系统,证书作废系统,应用接口(API)

windows 组件向导-》独立根 其他默认 http://xxx.xxx.xxx/certsrv 申请。

 

2.使用MD5sum创建HASH检验和

MD5 Message-Digest Algorithm 5 确保信息传输的完整性。1.压缩性 2.容易计算 3.抗修改性 4.弱抗碰撞性 5.强抗碰撞性 

md5sum myfile

md5sum > sec.md5

md5sum /etc/passwd > passwd.md5

md5sum -c passwd.md5 #比较hash

ok!

3.windows_server_2003_ca配置

CA Certificate Authority 证书认证机构 证书颁发机构 证书的颁发、吊销、更新和续订等管理任务和CRL发布和日志记录。

CA证书服务器配置

添加IIS组件-》添加证书服务组件-》独立根-》自定义设置生成密钥对和CA证书-》Microsoft Strong Cryptographic Provider SHA-1 2048-》

WINDOWS CA证书服务器配置(二)

申请

配置SSL 443

4.使用《自信》工具集安装证书及文件保密 

数字证书 包含公钥拥有者信息和公钥的文件、证书授权中心的数字签名。 只有在特定的时间段内有效。

使用证书加密解密 一个公钥一个私钥

5.数字证书-加密应用

数字证书的用途:验证身份、保护文件原始性、加密数据。

6.PGP的邮件加密标准试验

当年考网规的时候还是清楚的,后来就把它忘了。现在又来,头痛!

自己总结一下:双方都公钥与私钥,有一个对称算法。A->B A写信后,用对称算法加密,让后算MD5。用自己的私钥对MD5加密,把用对称加密的文件用对方的公钥加密后连同MD5一起发送。B用A的公钥解开,拿到用A私钥加密的MD5和对称算法加密的自己公钥加密的文件,然后用自己的私钥解密文件和HASK值,B用自己对称密钥解开文件,对文件进行MD5计算,然后对比MD5值,如果==,就是A发的,!=,伪造的。关键是私钥要保护好!

使用PGPfreeware_6.5.3

7.SSH数据加密试验

linux上配置无密钥登录 sshd ★★★

WEB应用安全

1.Myqal注入实验 ★★★

利用mysql函数load_file()读取文件

利用Mysql INTO OUTFILE去写入文件到数据库

2.本地文件包含漏洞实验 ★★★

http://xxx.xxx.xxx/index.php?page=sss.sss

出Warning:include():Failed opening sss.sss(具体的路径)

page=/etc/passwd

page=/etc/flag.php

拿到DBapp密码

网页包含往往会把文件显示在参数中 

PHP include函数

3.

 

以上是关于安全-攻防-学习!的主要内容,如果未能解决你的问题,请参考以下文章

iOS安全攻防初识汇编

Python安全攻防-从入门到入狱

11招玩转黑客攻防——用Python,更安全

iOS安全攻防循环 & 选择 & 指针

2017-2018-2 20179302《网络攻防》第九周作业

[Web安全] XXE漏洞攻防学习(上)