记录了安全测试过程中发现的一些典型的安全问题 YS忘记密码机制存在缺陷,可导致任意用户口令被修改[高] 问题描述: YS网站提供用户密码修改功能,当用户忘记密码时可通过该功能找回密码,但该修改密码的流程存在如下问题: 1.  手机验证码过短(只有4位且为纯数字),很容易被暴力破解. 2.  只单纯通过手机验证码来判断用户的真伪,在输入手机验证码后直接在页面上进行密码修改,而不是采用更安全的多重认证的方式. 测试步骤: 1.  安装burp并启动http请求拦截功能. 2.  打开YS首页,选择“…

01 PGP概念 02 PGP认证加密体系…

MySQL添加了对身份验证插件的支持,该插件现在称为mysql_native_password.该mysql_native_password插件使用SHA1哈希 将密码(SHA1(SHA1(password)))存储在mysql.user表中验证用户,该插件的一个优点是,它允许使用质询-响应机制进行身份验证,从而可以在未加密的通道上验证客户端的身份,而无需发送实际密码. 随着时间的流逝,我们从身份验证方案的角度确定了需要改进的几个方面. 在将值存储在数据库中时,密码的转换必须使用盐(增加的因素)…

作者:余弦(@evilcos) 0x01. XSS获取明文密码的多种方式 我已经感受到Web潮流带来的巨大革新,尤其是最近HTML5越来越火.浏览器们在客户端瓜分着这个Web OS,只要是对用户体验好的功能,浏览器之间就会互相学习,然后去实现,但是实现总是存在一些差异,有些差异是用户体验上的,有些则可能带来安全问题. 这篇文章是想深入描述下浏览器记住用户密码这种机制带来的安全问题与实现上的一些差异性.黑客们如何通过技巧获取到浏览器保存的密码,明文. 先回到XSS本身上,XSS获取明文密码的方式有…

chrome://settings/passwords ------------------------------- [系统盘]:\Documents and Settings\[用户名]\Local Settings\Application Data\Google\Chrome\User Data\Default\Login Data (这个路径是 Win XP 系统) 你可以用  SQLite Database Browser 打开这个文件(文件名就是“Login Data”),查看“lo…

Hdfs是根/目录,windows是每一个盘符, 1  从Linux里传一个到,hdfs里去 2  从hdfs里下一个到,linux里去 想从hdfs里,下载到linux, 涨知识,记住,hdfs是建立在linux上, 现在,hdfs里还有jdk-7u65-linux-i586.tar.gz,好,linux里,没有了jdk-7u65-linux-i586.tar.gz. 在抽象的hdfs文件系统里,存在datanode那个机器的抽象的hdfs文件系统里, 其实,刚下载,是从datanode文件夹…

背景 服务器演示地址,无法使用.排查原因,是数据库密码有问题,报28001错误 问题 确定是oracle密码机制,180失效了 解决 1.进入sqlplus模式 sqlplus / as sysdba; 2.查看用户密码的有效期设置(一般默认的配置文件是DEFAULT) SELECT * FROM dba_profiles WHERE profile='DEFAULT' AND resource_name='PASSWORD_LIFE_TIME'; 3.将密码有效期由默认的180天修改成“无限制…

本文由 伯乐在线 - 黄利民 翻译.未经许可,禁止转载!英文出处:howtogeek.欢迎加入翻译组. [2013-08-09 更新]:最近又开始讨论“Chrome浏览器明文保存密码这个话题了,国外一位软件工程师 Elliott Kember 在他博客上写文提了这个问题,他认为这是一个安全漏洞.随后,Chrome 浏览器安全技术主管  Justin Schuh 在 HackerNews 发帖做了解释,他的意见和下文提到的『主密码提供了一种虚假的安全感,保护敏感数据的最可行保护方式是要取决于系统的…

MySQL8.0已经发布GA版,当前最新GA版本为8.0.12.虽然相对于之前版本,MySQL8.0没有加入新元素,但是,经过代码重构,MySQL8.0的优化器更加强大,同时也有一些新特性,如支持索引隐藏等. 但是,MySQL新版本中也有很多与先前版本不一样的地方,比如在用户创建上就有很多变化. 1. 用户创建 创建用户的操作已经不支持grant的同时创建用户的方式,需先创建用户再进行授权 mysql> grant all on *.* to 'admin'@'%' identified by…

weblogic 10.3.5重置密码   热度1,609 ℃  时间:2013-12-26 10:26  分类:middleware  评论数:0 条 0    weblogic默认验证密码机制:如果输入错误超过5次,即使后面输入正确,也会报密码错误(这点相当坑爹啊!)    不过正好实践了下如何重置10.3.5版本的密码重置,密码验证主要是通过security/DefaultAuthenticatorInit.Ldift 来验证,更新完之后删除domain下的 ldap目录里的缓存文件.  …