SQL注入攻防实战:从原理到靶场实践与WAF绕过
2026/7/4 10:56:00
(1)加密:保证内容的机密性
(2)完整性:保证内容的完整性,哈希算法
(3)身份认证(口令):解决身份冒充
(1)存储安全:哈希,定期强制修改密码
(2)传输安全:哈希,加盐
(3)输入安全(登录界面): 网站安全
(1)认证:你是谁
(2)授权:您能做什么(超级用户:能看到所有信息)
(1)从数据库获取密码,解密
(2)窃听通信数据,解密
(3)直接从登录框猜测密码
不是用户自己设计,而是批量导入,如上大学的一些登录信息用的是身份证后几位
如:000000,123456,空密码,身份证后六位,手机号后六位
非常简单的密码
全世界各国常用密码查询:https://nordpass.com/most-common-passwords-list/
已经在网络上泄露的密码
查询账户信息有没有被泄露:https://www.haveibeenpwned.com
(1)密码长度:注册界面可看
(2)密码内容:0-9,a-z,A-Z,特殊字符