空城的回答 - 奇安信攻防社区

0 赞同

师傅们，sp_password()加密的数据有没有方法解开

应该是不可以的，只能是自己自定义一个数据（如密码），加密后在数据库中替换

回答于 2022-11-28 13:43

0 赞同

可以使用一个古老的工具，cain，arp欺骗，来监听流量

回答于 2022-11-28 10:04

0 赞同

可以试一下pkav等验证码识别工具来自动识别验证码，然后指定密码，爆破用户名即可

回答于 2022-11-25 10:27

1 赞同

1、编码绕过：URL编码、Unicode编码，Base64编码，Hex编码，ASCII编码等2、字母大小写绕过3、空格过滤绕过4、双关键字绕过5、内联注释绕过6、更改请求方式绕过7、超大数据包绕过8、宽字节绕过9、%00截断绕过10、Cookie/X-Forwarded-For注入绕过等等

回答于 2022-11-23 10:26

1 赞同

1、就是常规的渗透测试思路，爆破、注入、敏感文件目录扫描等2、建议未授权禁止测试

回答于 2022-11-23 09:59

1 赞同

一般不可以

回答于 2022-11-15 17:41

0 赞同

1、社区：奇安信社区、火线社区、freebuf等等2、公众号：各种安全公众号3、书籍：系统的学习。如白帽子讲web安全等等

回答于 2022-11-14 13:39

0 赞同

ip。而且需要确认找到真实ip。这样扫描才有效果。因为目前cdn的使用，很多ping域名的ip都是cdn的ip。

回答于 2022-11-14 13:36

0 赞同

工具方面的话可以先用一下：Seay源代码审计系统资料方面：可以搜一搜csdn、知乎这种，php代码审计相对资料很多书的话：代码审计：企业级Web代码安全架构，可以找找电子版啥的

回答于 2022-11-09 10:00

0 赞同

1、检查客户端程序存储在手机中的 SharedPreferences 配置文件2、检查客户端程序存储在手机中的 SQLite 数据库文件3、检查客户端程序 apk 包中是否保存有敏感信息（反编译、逆向、检查apk包中各类文件是否包含硬编码的敏感信息）4、logcat日志

回答于 2022-10-26 15:13