安全-攻防-学习!
Posted armyz6666666
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全-攻防-学习!相关的知识,希望对你有一定的参考价值。
PKI
1.基于公钥的安全服务基础设施CA中心的搭建
PKI:Public Key Infrastructure 提供公钥加密和数字签名服务的系统或平台,目的是为了密钥和证书。
PKI主要包括四个部分:X.509格式的证书(X.509V3)和证书废止列表CRL(X.509V2);CA操作协议;CA管理协议;CA政策制定。
权威认证机构(CA),数字证书库,密钥备份及恢复系统,证书作废系统,应用接口(API)
windows 组件向导-》独立根 其他默认 http://xxx.xxx.xxx/certsrv 申请。
2.使用MD5sum创建HASH检验和
MD5 Message-Digest Algorithm 5 确保信息传输的完整性。1.压缩性 2.容易计算 3.抗修改性 4.弱抗碰撞性 5.强抗碰撞性
md5sum myfile
md5sum > sec.md5
md5sum /etc/passwd > passwd.md5
md5sum -c passwd.md5 #比较hash
ok!
3.windows_server_2003_ca配置
CA Certificate Authority 证书认证机构 证书颁发机构 证书的颁发、吊销、更新和续订等管理任务和CRL发布和日志记录。
CA证书服务器配置
添加IIS组件-》添加证书服务组件-》独立根-》自定义设置生成密钥对和CA证书-》Microsoft Strong Cryptographic Provider SHA-1 2048-》
WINDOWS CA证书服务器配置(二)
申请
配置SSL 443
4.使用《自信》工具集安装证书及文件保密
数字证书 包含公钥拥有者信息和公钥的文件、证书授权中心的数字签名。 只有在特定的时间段内有效。
使用证书加密解密 一个公钥一个私钥
5.数字证书-加密应用
数字证书的用途:验证身份、保护文件原始性、加密数据。
6.PGP的邮件加密标准试验
当年考网规的时候还是清楚的,后来就把它忘了。现在又来,头痛!
自己总结一下:双方都公钥与私钥,有一个对称算法。A->B A写信后,用对称算法加密,让后算MD5。用自己的私钥对MD5加密,把用对称加密的文件用对方的公钥加密后连同MD5一起发送。B用A的公钥解开,拿到用A私钥加密的MD5和对称算法加密的自己公钥加密的文件,然后用自己的私钥解密文件和HASK值,B用自己对称密钥解开文件,对文件进行MD5计算,然后对比MD5值,如果==,就是A发的,!=,伪造的。关键是私钥要保护好!
使用PGPfreeware_6.5.3
7.SSH数据加密试验
linux上配置无密钥登录 sshd ★★★
WEB应用安全
1.Myqal注入实验 ★★★
利用mysql函数load_file()读取文件
利用Mysql INTO OUTFILE去写入文件到数据库
2.本地文件包含漏洞实验 ★★★
http://xxx.xxx.xxx/index.php?page=sss.sss
出Warning:include():Failed opening sss.sss(具体的路径)
page=/etc/passwd
page=/etc/flag.php
拿到DBapp密码
网页包含往往会把文件显示在参数中
PHP include函数
3.
以上是关于安全-攻防-学习!的主要内容,如果未能解决你的问题,请参考以下文章