Racketwww 的部落格

[F16_webhack] POST #2 資工三甲 403261297 黃韶柏

SQL injection 駭客的填字遊戲

      在大部分服務背後都存在著資料庫,對於駭客來說可以用猜猜看的方式來猜出資料庫的名子,有幾個表,有神麼欄位,只要可以猜到密碼等關鍵資訊那便可以輕鬆入侵系統等等

      最基本的攻擊手法是在密碼欄位輸入 ' OR '1'='1 如果系統沒有防範單引號的話那密碼的語法就會變成

where password '  ' OR '1' = 1 永遠成立,所以便不用密碼就可以直接入侵,雖然只需防止逃脫字元,但還是有網站可以用這樣簡單的手法入侵

       取得 Table name,在mySQL中所有Table都放在 INFORMATION_SCHEMA database 裡,只要資料庫的權限沒管理好便可以讀取所有的表,所有內容都將曝光在駭客眼前

 

 

 

[F16_webhack] HW1 資工三甲 403261297 黃韶柏

首先用iTunes備份 iphone

在備分出來的檔案裡找到 "3d0d7e5fb2ce288813306e4d4636395e047a3d28"這個檔案

把副檔名改成. sqlite 在用Sqlite開啟

我們想找的檔案在 message 底下

但是在SQLlite直接更改欄位會出錯

只能匯出成.csv 用note++編輯

但import回去還是不能

SQLiteManager: INSERT INTO "main"."message" VALUES ('1',"81A97C10-0F0E-F353-9737-1BA4F258C901","2-step authentication code: 9978

看起來 ios還是要JB才能比較簡單的修改訊息

 

 

[F16_webhack]POST#1 資工三甲 黃韶柏 403261297

   上次上課,我聽到一個很重要的觀念,只要駭客有心,就可以入侵任何系統,在今天沒辦法檔下攻擊時,只能用另外的角度去思考,那就是,如果駭客已經入侵到內網那他可以取得什麼資料?不要讓他進到內網就為所欲為。

   還有提到密碼的迷思,就算加入大小寫,長度,定期更換密碼等措施,也沒有辦法證明密碼的強度,比較好的做法是盡量使用不一樣的帳號密碼,如果駭客的到你的其中一組,那也不會所有平台全部被撞庫成功。

 

[S15_BCC] 資工一甲 403261297 python

心得

 這跟上課教的C語言比起來,我覺得用起來比較人性化,只要***[key]

他就可以自動找出list裡得字串,比較有跟程式溝通的感覺,只是我還不太適應

他不用{} 完全是靠TAB來排版,說起來學這個不難,我只會基本的C語言也是一看就懂,不過我還是不知道他的優點跟缺點在哪裡

 

大學入門__hw04

403261297  黃韶柏

 

今天我想分享的歌是  旅行的意義

我喜歡一首歌會先聽他的旋律,這首歌的旋律是輕快的,我想這是陳綺貞的特色,有了你喜歡的旋律,

接著我就我看看歌詞,歌名雖然是旅行但詞卻是透過旅行來抒發失戀的心情,透過許多隱喻來表示另一伴

的變心,有了明快的旋律,再加上有意境的歌詞,我便被這首歌給深深吸引住了。

 

[Fall2014]大學入門_hw1

資公一甲 403261297 黃韶柏

大家好 我是 黃 韶ㄕㄠˊ 柏 

好~~~~ 現在你會念了 聰明的孩子!!!!!

我其實不太懂為甚麼又要自我介紹

我目前沒有參加社團 可是我有選修吉他課

以後可能往吉他社發展吧

沒有去宿營 因為那時候不在台灣

也沒有去茶會 覺得很可惜 希望以後能有機會大家一起出去玩

我是桃園人 住桃園郵遞區號330 有空可以↓寄信↓給我 我有空會回你

[Fall2014]大學入門_hw1

資公一甲 403261297 黃韶柏

大家好 我是 黃 韶ㄕㄠˊ 柏 

好~~~~ 現在你會念了 聰明的孩子!!!!!

我其實不太懂為甚麼又要自我介紹

我目前沒有參加社團 可是我有選修吉他課

以後可能往吉他社發展吧

沒有去宿營 因為那時候不在台灣

也沒有去茶會 覺得很可惜 希望以後能有機會大家一起出去玩

我是桃園人 住桃園郵遞區號330 有空可以↓寄信↓給我 我有空會回你