基础入门-算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护
传输数据-编码型&加密型等
例:
-某视频
-某Web站
-博客登录
-APP-斗地主
影响:漏洞探针
传输数据时需使用其相同的编码或加密
例1:
正常
1 | https://indialms.in/wfp_login.php?r_id=1 |
base64编码
1 | username=YWRtaW4= |
或其他加密:
1 | https://tv.sohu.com/v/dXMvMzg1MjM2NzE5LzQyNzUyODUzOC5zaHRtbA==.html |
数据在传输的时候进行编码,为什么要了解?
对方服务器可能会在接受的时候进行解码在带入
如果还是按照原有思路没有自己的Payload进行同样编码的话,传入过去的东西就是识别不了的东西,测试无效
正确:测试的话也要进行payload同样的加密或编码进行提交
安全测试漏洞时候,通常都会进行数据的修改增加提交测试
以数据的正确格式发送,接受才行
例2:
登录的数据包:
admin 123456
MD5加密
1 | username=admin&password=123456 |
如果要进行爆破:
字典文件:
帐号什么都不用更改 去替换username=值即可
密码需要进行密码算法 保证和password=值同等加密才行
传输格式(MIME-TYPE)-常规&JSON格式&XML格式等
例:
-App-期H
-APP-斗地主
影响:发送(Request)漏洞探针,回显(Respose)数据分析
传输数据时,需使用相同的格式
例:
开发:数组 列表
1 | btnPost=%E7%99%BB%E5%BD%95&username=admin and &password=e10adc3949ba59abbe56e057f20f883e&savedate=1 |
1 | { |
json xml 常规
1 | x=123 |
1 | { |
密码存储-Web&系统&三方应用
例:
-ZZZCMS&Dz
-Win&Linux
-MSSQL&MYSQL
影响:安全后渗透测试
如何进行解密,密码是以什么方式进行加密的
代码混淆-源代码加密&逆向保护
例:
-PHP&JS混淆加密
-EXE&JAR代码保护
影响:代码审计,逆向破解
加密了如何解密查看明文