نوشته‌شده در

کجا باید پرس و جو تزریق SQL را وارد کنم؟

خب من کمی در مورد چگونگی کار با sql و روش های رایج برای آزمون id = 1 شناخته شده هستم و مانند آن، اما سوال من این است که جای دیگری می توانیم داده هایمان را برای بررسی آسیب پذیری sql وارد کنیم

نوشته‌شده در

تغییر مسیر url – URI با تنها پارامترهای پرس و جو هدایت می شود

آیا امکان انجام تغییر URI را به یک دامنه متفاوت در صورت دسترسی مجدد خام به پارامترهای پرس و جو می توان انجام داد؟

در پراکسی، ایجاد URI به نظر می رسد: 

 URI = "/ example /مسیر؟" +
"thing1 =" + rawFormValueFrom ("# thing1") +
"& thing2 =" + rawFormValueFrom ("# thing2")

من دو سوء ظن خاص دارم که باید تایید کنم:

شخصیت های تعریف شده URI

قرار دادن یک فضای بدون کدگذاری، برگه، خوراک خط، بازده باربری، برگه عمودی، کاما، نقطه ی نقطه یا برخی شخصیت دیگر مرورگر را به URI دوم منتقل می کند اگر یکی از آنها ارائه شده باشد؟ به عبارت دیگر، ارزش # thing2 https://security.stackexchange.com (توجه به فضای پیشرو)، آیا مرورگر معمولی من را به URI دوم در رشته هدایت میکند؟ [19659005] Backspacing

آیا امکان دارد که شخصیتهای back post را به یک ورودی فرم ارسال کند تا بخشی از URI پشت آن را پاک کند؟ به عبارت دیگر، اگر مقدار # things1 3 = actually2 باشد، آیا URI تبدیل به / مثال / مسیر می شود؟ thing3 = actually2 & thing2 = ... ؟

نوشته‌شده در

AES – امنیت رمزگذاری پرس و جو؟

امنیت بهار یک روش مفید به نام Encryptors.queryableText است. توضیح آن این است:

تفاوت بین TextEncryptor قابل پرسشی و متن TextEncryptor استاندارد مربوط به بارگزاری اولیه (iv) دست زدن است. IV استفاده شده در یک TextEncryptor # query encrypt عملیات مشترک است، یا ثابت، و به طور تصادفی تولید نمی شود. این به این معنی همان متن رمزگذاری شده چندین بار همیشه یک نتیجه رمزگذاری مشابه را تولید می کند. این کمتر امن است، اما برای داده های رمزگذاری شده ضروری است که در برابر آنها سوالی باشد. یک نمونه از متن رمزگذاری شده پرس و جو می تواند یک apiKey OAuth باشد.

به نظر می رسد از AES / CBC / PKCS5Padding با ثابت تمام صفر IV استفاده شود. (توجه: در جاوا PKCS5Padding واقعا به معنای پاک کردن PKCS # 7 است.

هدف از این روش، استفاده از متن رمزنگاری به عنوان کلید (کلید در یک نقشه / index / etc "به معنی، نه" کلید رمزگذاری "به معنای)

سوالات من هستند:

  1. استفاده عملی از چنین طرح چیست؟ من سعی کردم از یک فکر کنم،
    1. این سیستم یک کلید مخفی دارد (به عنوان مثال، یک کلید اولیه متوالی که آن را نمی خواهد مهاجم را برای شمارش).
    2. این سیستم یک متن رمز را به یک کاربر ارسال می کند که آن را بعدا ارسال می کند اطلاعات پرس و جو مربوط به آن
    3. هنگامی که کاربر متن رمزنگاری را ارسال می کند، سیستم آن را رمزگشایی می کند، پایگاه داده را جستجو می کند و اطلاعات را به دست می گیرد.

برای سناریوی ذکر شده فوق، من می توانم از بسیاری از راه حل های بهتر مشکل:

  • اگر سیستم قبل از پرسیدن آن را رمزگشایی کند، چرا یک متن رمز برای همان متن ساده وجود دارد؟ فقط از رمزگذاری مناسب با تصادفی IV استفاده کنید.
  • اگر سیستم نه آن را رمزگشایی کند، چرا از یک شناسه به طور تصادفی تولید شده به اندازه کافی مبهم استفاده نکنید؟
  • یا بهتر است کنترل دسترسی مناسب زمانی داشته باشید
  • از سند مستندات بالا، چرا یک apiKey OAuth در وهله اول رمزگذاری می شود؟

پس دقیقا این روش خوب است؟

  1. پیامدهای امنیتی این "چیست" کمتر امن "(به عنوان مستندات آن را درخواست می کند) رمزگذاری اگر استفاده شده به عنوان طراحی شده است؟

نوشته‌شده در

چگونگی انجام پرس و جو WHOIS با پروکسی SOCKS با استفاده از NodeJS

Introduction

اگر شما مایل به مقیاس quises quiz هستید، به سرعت متوجه خواهید شد که برخی از سرورهایی که این پایگاه داده ها را میزبانی می کنند، محدودیت هایی را برای تعداد دفعاتی که می توانید آنها را در هر روز یا حتی هر ساعت مورد نظر قرار دهید، تعیین کنید. [19659003] کشورها مانند استرالیا و نیوزیلند محدودیت های سنگین تر را در انجام پرس و جو اعمال می کنند و با استفاده از یک پروکسی SOCKS ما می توانیم این محدودیت ها را دور بزنیم و داده های معدن را ادامه دهیم.

Preresequites

NodeJS نصب شده است (ما از 8.9.3 در این استفاده می کنیم مثال:

نحوه انجام پرس و جو WHOIS در پشت پروکسی SOCKS

مرحله 1: install whois npm 

 npm install -g whois 

 / usr / bin / whois - / usr / lib / node_modules / whois / index.js
+ [email protected]
اضافه کردن 8 بسته در 1.165s

مرحله 2: ایجاد اسکریپت example.js با محتوای زیر

با استفاده از ویرایشگر متن مورد علاقه خود مانند vim، nano یا emacs: 

 var whois = require ('whois' )
{{{پروکسی} {{ipaddress :  "162.210.198.8 "، "port": 1200، "type": 5}}، function (err، data) {
 console.log (داده ها)
})

قطعاتی که میخواهید ویرایش کنید:

'proxyrack.com' <- این دامنه ای است که میخواهید جستجو کنید

"ipaddress" <- پروکسی IP شما یا نام میزبان

"port" <- Port of your proxy

"type" <- 5 برای پروتکل SOCKS5 یا 4 برای SOCKS4

اگر پروکسی شما احتیاج به احراز هویت داشته باشد، شما باید آن را با ارائهدهنده خود سفید کنید (این را می توان در پنل ما انجام داد) )

آماده برای اجرا؟

به سادگی اجرای 

 node example.js