第7章 Web应用安全文件包含简介目标要求Objectives了解文件包含攻击的基本概念;了解文件包含攻击的基本方法;文件包含简介一、文件包含的基本概念1、文件包含:程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般称为文件包含。2、文件包含漏洞:程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用。文件包含漏洞产生的原因正是函数通过变量引入文件时,没有对传入的文件名进行合理的校验,从而操作了预想之外的文件,这样就导致意外的文件泄漏甚至恶意的代码注入。文件包含简介一、文件包含的基本概念PHP中提供文件包含的函数:Include():找不到被包含的文件时只产生警告,脚本继续执行Include_once():与include()类似,区别是如果文件中的代码已经被包含,则不会再次包含require():找不到被包含的文件时会产生致命错误,脚本停止执行require_once():与require()类似,区别是如果文件中的代码已经被包含,则不会再次包含漏洞利用条件:Include()等函
2022-05-17 09:00:10
339KB
第2章 密码学技术对称加密算法目标要求Objectives了解对称加密算法的基本概念、基本术语;了解对称加密算法中典型的加密算法;了解对称加密算法的优点与缺点;对称加密算法一、什么是对称加密算法明文:待加密的数据密文:加密后的数据密钥:加密过程中或解密过程中输入的数据加密算法:将明文和密钥相结合进行处理,生成密文的方法解密算法:将密文和密钥相结合进行处理,生成明文的方法对称加密算法一、什么是对称加密算法所谓的对称加密算法,指的是加密所使用的密钥和解密所使用的密钥是相同的,加密和解密都使用相同的密钥。Alice和Bob在不安全的信道上进行通信,而破译者Oscar不能理解他们通信的内容。对称加密算法二、典型对称加密算法——DES数据加密标准(Data Encryption Standard,DES)由IBM公司在1971年设计完成。1977年由美国国家标准局(现美国国家标准技术委员会)采用作为数据加密标准。DES是分组密码的典型代表,也是第一个被公布出来的标准算法。DES成为金融界及其他非军事行业应用最为广泛的对称加密标准。也是迄今为止世界上应用最为广泛的一种分组密码算法。对称加密算法二、
2022-05-16 14:05:45
251KB