正文

安全-攻防-学习！

armyz6666666  armyz6666666  2022-11-20  315

关键词：

PKI

1.基于公钥的安全服务基础设施CA中心的搭建

PKI:Public Key Infrastructure 提供公钥加密和数字签名服务的系统或平台，目的是为了密钥和证书。

PKI主要包括四个部分：X.509格式的证书（X.509V3）和证书废止列表CRL(X.509V2);CA操作协议；CA管理协议；CA政策制定。

权威认证机构（CA），数字证书库，密钥备份及恢复系统，证书作废系统，应用接口（API）

windows 组件向导-》独立根其他默认 http://xxx.xxx.xxx/certsrv 申请。

2.使用MD5sum创建HASH检验和

MD5 Message-Digest Algorithm 5 确保信息传输的完整性。1.压缩性 2.容易计算 3.抗修改性 4.弱抗碰撞性 5.强抗碰撞性

md5sum myfile

md5sum > sec.md5

md5sum /etc/passwd > passwd.md5

md5sum -c passwd.md5 #比较hash

ok!

3.windows_server_2003_ca配置

CA Certificate Authority 证书认证机构证书颁发机构证书的颁发、吊销、更新和续订等管理任务和CRL发布和日志记录。

CA证书服务器配置

添加IIS组件-》添加证书服务组件-》独立根-》自定义设置生成密钥对和CA证书-》Microsoft Strong Cryptographic Provider SHA-1 2048-》

WINDOWS CA证书服务器配置（二）

申请

配置SSL 443

4.使用《自信》工具集安装证书及文件保密

数字证书包含公钥拥有者信息和公钥的文件、证书授权中心的数字签名。只有在特定的时间段内有效。

使用证书加密解密一个公钥一个私钥

5.数字证书-加密应用

数字证书的用途：验证身份、保护文件原始性、加密数据。

6.PGP的邮件加密标准试验

当年考网规的时候还是清楚的，后来就把它忘了。现在又来，头痛！

自己总结一下：双方都公钥与私钥，有一个对称算法。A->B A写信后，用对称算法加密，让后算MD5。用自己的私钥对MD5加密，把用对称加密的文件用对方的公钥加密后连同MD5一起发送。B用A的公钥解开，拿到用A私钥加密的MD5和对称算法加密的自己公钥加密的文件，然后用自己的私钥解密文件和HASK值，B用自己对称密钥解开文件，对文件进行MD5计算，然后对比MD5值，如果==，就是A发的，!=，伪造的。关键是私钥要保护好！

使用PGPfreeware_6.5.3

7.SSH数据加密试验

linux上配置无密钥登录 sshd ★★★

WEB应用安全

1.Myqal注入实验 ★★★

利用MySQL函数load_file()读取文件

利用Mysql INTO OUTFILE去写入文件到数据库

2.本地文件包含漏洞实验 ★★★

http://xxx.xxx.xxx/index.php?page=sss.sss

出Warning:include():Failed opening sss.sss（具体的路径）

page=/etc/passwd

page=/etc/flag.php

拿到DBapp密码

网页包含往往会把文件显示在参数中

PHP include函数

一些学习网络安全的平台介绍

一些学习网络安全的平台介绍文章目录一些学习网络安全的平台介绍一、攻防世界二、hackingloops三、securitytube四、hacking-tutorial结语一、攻防世界https://adworld.xctf.org.cn/二、hackingloopshttps://www.hackingloops.com/三、securitytubehttp://www.securi... 查看详情

2017-2018-220179302《网络攻防》第九周作业

...实践》第9、10章的内容，主要学习了恶意代码攻防与软件安全攻防恶意代码安全攻防1.基础知识恶意代码是指使计算机按照攻击者的意图执行以达到恶意目标的指令集。类型包括：计算机病毒、蠕虫、恶意移动代码、后门、特洛... 查看详情

2017-2018-2《网络攻防》第五周作业

....owaspzap9.webscarab10.fuzzing工具集二《网络攻防》学习总结Web安全攻防技术与实现web应用程序体系结构及其安全威胁web应用体系结构浏览器web服务器web应用程序数据库传输协议http/httpsweb应用安全威胁针查看详情

一些学习网络安全的平台介绍

等保2.0+安全实验室+漏洞挖掘+攻防实战，你get了吗？

这几年随着我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地，网络安全行业地位、薪资随之水涨船高。当你开始在网上搜索关于网络安全的学习资料，常常会陷... 查看详情

等保2.0+安全实验室+漏洞挖掘+攻防实战，你get了吗？

零基础自学网络安全/网络渗透攻防路线学习方法建议收藏

...到实在搞不懂的,可以先放放,以后再来解决.基本方向:1.web安全方面(指网站服务器安全方面,进行渗透测试,检测漏洞以及安全性)2.逆向破解方面(对软件进行破解,脱壳)以下内容是针对web安全方面的网络安全技术讲解:如果你对网络... 查看详情

2017-2018-220179317《网络攻防技术》第八周学习心得体会

...台的硬件支持；丰富的软件支持；多用户多任务；可靠的安全性；良好的稳定性；完善的网络功能2、Linux系统结构1）Linux进程与线程管理机制2）Linux内存管理机制3）Linux文件系统管理机制4）Linux设备控制机制5）Linux网络机制6）Li... 查看详情

2017-2018-220179317《网络攻防技术》第五周学习心得体会

第11章：Web应用程序安全攻防11.1Web应用程序体系结构及其安全威胁11.1.1Web应用体系结构Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态，通常以浏览器支持的语言所编写，或能够在浏览器控制... 查看详情

2017-2018-220179209《网络攻防》第八周作业(代码片段)

本周学习目标掌握Linux系统架构掌握Linux系统安全架构和机制掌握Linux系统安全攻防技术视频学习SET工具SET（SocialEngineeringToolkit）是一个开源、python驱动的社会工程学渗透测试工具，提供了非常丰富的攻击向量库。是开源的社会工... 查看详情

我想学网络攻防技术，（自学）现在零基础，求如何起步，求步骤，求师傅~~

...可以加扣扣或多逛论坛，多和大牛交流学习，多把握最新安全资讯，比如FreeBuf,不断提高自己的安全攻防能力和网络安全能力。我目前是做网络安全方面，有兴趣可以加v信[ihaha12]，一起交流进步！基本方向:1.web安全方面(指网站... 查看详情

安全学习方向

文章目录安全的魅力在于攻防。攻击隐匿，溯源分析，钓鱼远控，又无聊又有趣。暂时不能跟着P师傅学习了，跟安开安研说拜拜，代码审计saygoodbye。查看详情

web安全最亲密的战友burpsuite—网络攻防常用工具介绍--burpsuit工具初体验一(代码片段)

本文是我的免费专栏《网络攻防常用工具介绍》的第一篇文章磨刀不误砍柴工！在介绍攻防技术时，突然意识基础工具的使用很容易会被忽略，但是对不熟悉的同学来说，这将会极大影响该领域的学习。所以本专... 查看详情

2017-2018-220179213《网络攻防实践》第九周学习(代码片段)

教材学习第九章恶意代码安全攻防恶意代码定义??恶意代码是指使计算机按照攻击者的意图执行以达到恶意目标的指令集。类型包括：计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸程序、内核套件、融合型恶意代... 查看详情

2017-2018-220179215《网络攻防实践》第六周作业(代码片段)

...六周学习总结课本学习笔记一、TCP/IP网络协议攻击1.网络安全的属性：机密性、完整性、可用性、真实性、不可抵赖性。2.网络攻击的基本模式分为：截获（嗅探与监听）、中断（拒绝服务）、篡改（数据包篡改）、伪造（欺骗... 查看详情

2017-2018-220179317《网络攻防技术》第七周学习心得体会(代码片段)

教材学习内容总结课本第七章主要围绕windows操作系统安全攻防技术进行讲述，教材中主要涉及的攻击内容如下：Windows操作系统的基本结构运行于处理器特权模式的操作系统内核运行在处理器非特权模式的用户空间代码采用宏内... 查看详情

《内网安全攻防：渗透测试实战指南》读书笔记：隐藏通信隧道技术(代码片段)

...VBS2、Debug上传3、其他结语前言本篇继续阅读学习《内网安全攻防：渗透测试实战指南》，是第三章隐查看详情

《内网安全攻防：渗透测试实战指南》读书笔记：隐藏通信隧道技术(代码片段)

...VBS2、Debug上传3、其他结语前言本篇继续阅读学习《内网安全攻防：渗透测试实战指南》，是第三章隐查看详情