数据库里存储了大量个人信息,包括一些非常敏感的资料,让必须管理数据库的公司十分头痛。如今,运用各种高级工具和技术,数据库开发人员可以在保持信息私密的状态下放心执行各种操作。这些解决方案靠的是数学的巧妙...
本机函数和汇编代码调用
对于逆向工程师来说,直接从分析的二进制代码中调用函数的能力是一种捷径,可以省去很多麻烦。虽然在某些情况下,理解函数逻辑并在高级语言中重新实现它是可能的,但这并不总是可行的,而且原始函数的逻辑越脆弱和复...
工具推荐-toppwdhash:常见密码哈希离线查询工具。
toppwdhash一款常见密码哈希离线查询工具,包含算法类型 :'md5', 'md5x2', 'md5x3', 'sha1', 'ntlm', 'mysql', 'mysql5', 'md5_sh...
常见密码哈希离线查询工具
toppwdhash一款常见密码哈希离线查询工具,包含算法类型 :'md5', 'md5x2', 'md5x3', 'sha1', 'ntlm', 'mysql', 'mysql5', 'md5_sh...
MD5、SHA1弱比较,MD5($PASS,TRUE)绕过总结
一、md5、sha1弱比较 $a = $GET['a'];$b = $_GET['b'];if($a != $b && md5($a) == md5($b)){ 一般遇到这种情况,都...
仅从形式上就能分辨出电子数据真假的经典案例(4)
知识随笔案例声音其他编者按电子数据类型的证据,固定形式不同于一般物证,通过不可逆的算法,生成哈希值,被认为是符合实践需要的常用固定手段之一。什么叫哈希值?每个人都有区别于他人的指纹。人类从...
绕过接口参数签名验证
在一些关键业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步深入。微信小程序的前端代码很容易被反编译,一旦签...
URLMon应用实践(1):见微知著,SSL证书的安全检测
1 系 统 概 况 &nb...
针对InfoSec社区的恶意攻击活动
最近,Cyble 研究人员发现了一篇帖子,其中有人提到了 CVE-2022-26809 的概念证明 (PoC)。经过进一步调查,发现它是伪装成 Exploit 的恶意软件。同时还发现了另一个恶意样本,...
第十一章 如何使用Burp Decoder - Burp Suite 实战指南
第十一章 如何使用Burp Decoder Burp Decoder的功能比较简单,作为Burp Suite中一款编码解码工具,它能对原始数据进行各种编码格式和散列的转换。其界面如下图,主要由输入域、...
我为什么要使用弱口令?兼谈对用户口令的保护措施
笔者是网络安全从业人员,深知弱口令在安全认证环节的脆弱性,但我仍在很多地方使用弱口令(除了一些跟资金相关的比较重要的应用),不光是我,相信很多安全从业人员也或多或少的在使用弱口令,普通用户就更别提了。...
保护用户口令的最高境界?
【原创】 我们经常看到某某网站被拖库,从而导致用户口令或口令的HASH值泄露,从泄露的HASH值来看,口令的一次MD5或一次SHA-1居多,且未加盐。通过简单的在线破解查询,可以获得很多用户的原始口令...
8