算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护
传输数据-编码型&加密型
base64,md5
数据在传输的时候进行编码
对方服务器可能会在接受的时候进行解码在带入
如果我们还是按照原来思路不对payload进行同样的编码的话,传入过去的东西就是不认识的东西 测试无效
正确:测试的话也要进行payload同样的加密或编码进行提交
安全漏洞测试时候,通常都会进行数据的修改增加提交测试
以数据的正确格式发送才可以
例如:
web
博客登录
登录的数据包:
admin 1234456
username=admin&
如果现在要进行密码的破解
字典文件:
账号什么都不用更改 去替换username=值
密码需要进行密码算法 保证和password=值同等加密才行
app
影响:漏洞探针
传输格式-json&xml&常规
开发:数组,列表
影响:发送漏洞探针,回显数据分析
密码存储-web&系统&三方应用
例:
ZZZCMS&Dz
Win&Linux
MSSQL&MYSQL
影响:安全后渗透测试
代码混淆-源代码加密&逆向保护
例:
PHP&JS混淆加密
EXE&JAR代码保护
影响:代码审计,逆向破解
:科学喂养时代,选对口粮守护毛孩健康)
)
)
