This cool boy learns penetration testing

### 数据库安全基础 1 数据库安全 包含两层含义：第一层是指系统运行安全，系统运行安全通常受到的威胁如下，一些网络不法分子通过网络，局域网等途径通过入侵电脑使系统无法正常启动，或超负荷让机子运行大量算法，并关闭cpu风扇，使cpu过热烧坏等破坏性活动； 第二层是指系统信息安全，系统安全通常受到的威胁如下，黑客对数据库入侵，并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。 数据库安全的防护技术有：数据库加密（核心数据存储加密）、数据库防火墙（防漏洞、防攻击）、数据脱敏（敏感数据匿名化）等。 2.安全问题 据Verizon2012年的数据泄露调查分析报告和对发生的信息安全事件技术分析，总结出信息泄露呈现两个趋势： （1）黑客通过B/S应用，以Web服务器为跳板，窃取数据库中数据；传统解决方案对应用访问和数据库访问协议没有任何控制能力，比如:SQL注入就是一个典型的数据库黑客攻击手段。 （2）数据泄露常常发生在内部，大量的运维人员直接接触敏感数据，传统以防外为主的网络安全解决方案失去了用武之地。 数据库在这些泄露事件成为了主角，这与我们在传统的安全建设中忽略了数据库安全问题有关，在传统的信息安全防护体系中数据库处于被保护的核心位置，不易被外部黑客攻击，同时数据库自身已经具备强大安全措施，表面上看足够安全，但这种传统安全防御的思路，存在致命的缺陷。 3数据库安全需求 防止非法数据访问 防止推理 保证数据库的完整 保证数据的操作完整性 数据的语义完整性 审计和日志 标识和认证 机密数据管理 多级保护 界限 4.数据库安全性控制 安全性控制 安全性控制层次 由高到低： 用户-—DBms——OS——DB 用户标识和鉴别——数据库安全保护——操作系统安全保护——数据密码存储 用户标识和鉴别...

第三章 数据库安全之 python 连接数据库

1

第一步：安装python2.7 需要使用whl包安装。首先去这个链接下载包 https://www.lfd.uci.edu/~gohlke/pythonlibs/#mysql-python 下载与你的python版本相同的mysqlclient 我的是python2 下载后使用pip安装 `pip install mysqlclient-1.3.12-cp36-cp36m-win_amd64.whl ` 安装完成后导入MySQLdb，如果没有错误表示安装成功。 这里写图片描述 寻找解决方法的时候受到以下文章的启发： 1. python3.x如何安装MySQL-python（MySQLdb）？ 2. 关于在Python3.5下安装MySQL-python模块的问题 第二步：安装MySQL 第三部：安装mysal installerdb https://my.oschina.net/u/3368992/blog/861854 [python mysql操作.pdf](https://github.com/yzdily/yzdily.github.io/files/5684611/python.mysql.pdf) 最后下载navicat premium 1、解压mysql_scripts，会有两个文件分别为create.sql和populate.sql，_导入的顺序不能乱，首先是 create.sql，再次 populate.sql_ 2、运行Navicat Premium，右键连接名，选择“新建数据库”。...

首先是数据库的创建，其次是在MySQL命令行对数据增、删、改、查的练习，最后是用cmd打开phpstudy中的MySQL，以及增删改查练习。要注意的是，phpstudy中默认账户密码都是root，只在文件中把密码改了是没有用的。 在此之前，我们需要了解一下什么是数据库和mysql。 数据库就是存储数据的仓库，其本质是一个文件系统，数据按照特定的格式将数据存储起来，用户可以对数据库中的数据进行增加，修改，删除及查询操作。 mysql是一种关系数据库管理系统，关系数据库将数据保存在不同的表中，提高了灵活性。使用的语言是SQL语言。 1、创建数据库 （1）打开 phpstudy 至少mysql是绿灯可用的 再打开 MySQL-Front 发现这里自带前端可视化界面。然后我开始对数据库进行创建。 （2）创建、删除数据库 首先，创建一个数据库名为mydata的数据库（或者是在MySQL命令行中输入create database 数据库名称；） ``` mysql> create database mydata; Query OK, 1 row affected (0.01 sec) ``` 如果删除该数据库，在这里可进行删除（或者是在MySQL命令行中输入drop database...

安全数据库通常是指在具有关系型数据库一般功能的基础上，提高数据库安全性，达到美国TCSEC和TDI的B1（安全标记保护）级标准，或中国国家标准《计算机信息系统安全保护等级划分准则》的第三级（安全标记保护级）以上安全标准的数据库管理系统。 数据库的安全性包括：机密性、完整性和可用性，数据库在三个层次上，客户机 /服务器通过开放的网络环境，跨不同硬件和软件平台通信，数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境，每个结点服务器还能自治实行集中式安全管理和访问控制，对自己创建的用户、规则、客体进行安全管理。 一、 SQL（Structured Query Language） 解释：结构化查询语言，能够访问数据库。 二、 常见的关系型数据库管理系统 SQL Server（中型），MYSQL（小型），Oracle（大型） 三、 SQL标准 SQL92和SQL99，主流的是SQL99 四、 SQL注入式攻击原理 把SQL命令插入到Web表单的输入域或页面的网址（URL）中，欺骗服务器执行恶意的SQL命令。 五、 数据库系统分为数据库和数据库管理系统 数据库是存放数据的地方，数据库管理系统是管理数据库的软件 六、 数据库中数据的存储结构称为数据模型 常见的四种数据库模型：层次模型，网状模型，关系模型，面向对象模型，其中，关系模型是最主要的数据模型 七、 表组成 表是一个关系数据库的基本组成元素，将相关信息按行和列组合排列，行称为记录，列称为域，每个域（列）称为一个字段，每条（行）记录都由多个（列）字段组成，每个（列）字段的名字称为字段（列）名，每个字段（列）的值称为字段（列）值，表中每一行（每一条记录）都拥有相同的结构。 八、 SQL的注入条件 SQL注入攻击是一种利用用户输入构造的SQL语句的攻击。...

1.创建数据库 `--创建数据库 create database StudentMS --使用数据库 use StudentMS --删除数据库 --drop database StudentMS` 2.创建表并设置主键（外键类似 ``` --创建学生表 (属性:姓名、学号(pk)、学院、出生日期、性别、籍贯) create table xs ( name varchar(10) not null, id varchar(10) not null, xy varchar(10),...

### 操作系统概述 1）一个完整的计算机系统是由硬件系统和软件系统两大部分组成 2）计算机软件是指程序和与程序相关的文档的集合 3）按功能可把软件分为“系统软件”和“应用软件”两部分 系统软件：操作系统语言处理程序，数据库管理系统 应用软件：各种管理软件，用于工程计算的软件包，辅助设计软件 4）通常把未配置任何软件的计算机称为“裸机” 5）操作系统可以被看作是计算机系统的核心，统管整个系统资源，制定各种资源的分配策略，调度系统中运行的用户程序，协调它们对资源的需求，从而使整个系统在高效、有序的环境里工作。 6）发展的动力： (1) 提高计算机资源的利用率的需要 (2) 方便用户使用计算机的需要 (3) 硬件技术不断发展的需要 (4) 计算机体系结构发展的需要 7）操作系统是在“裸机”上加载的第一层软件，是对计算机硬件系统功能的首次扩充 8）操作系统的定义： 操作系统是控制和管理计算机硬件和软件资源，合理地组织计算机工作流程，以及方便用户使用计算机的一个大型程序 9）操作系统的功能： Ø 处理机管理：进程控制，进程同步，进程通信、调度、实施CPU分配 Ø 存储器管理：内存分配，内存保护，地址映射，内存扩充 Ø 设备管理：缓冲管理，设备分配，设备管理 Ø 文件管理：存储空间管理，目录管理，读写管理和保护...

在安全领域，Linux主要的应用包括： 系统管理 服务搭建 渗透测试 网络维护 如何学习Linux呢？ 从命令开始打好基础 选择一本好书，如《Linux鸟哥私房菜》 养成在命令行下工作的习惯 学习shell命令解释器 在Linux论坛获取帮助 结合Web渗透学习专业英语 Linux安装 1.版本及磁盘分区 Linux内核版本由团队统一发布，其格式为： > XX.YY.XX：主版本号.次版本号.修复次数 > 次版本号为偶数表示稳定版，奇数表示开发版（修复BUG） 比如kernel 2.6.32，其中主版本号是“2”，次版本号是“6”，修复次数是32，由于次版本号为偶数，即稳定版。内核表示操作系统核心代码。 Linux中将硬盘、分区等设备均表示为文件，磁盘分区表示： > /dev/hda5 dev表示:硬件设备文件所在目录 hd表示IDE设备 硬盘顺序号以字母开头a...... 5表示分区的顺序号1....... 数字表示分区，前4个为主分区，5是逻辑分区。硬盘和分区结构： Linux中默认使用的文件系统类型包括：...

一.Powershell操作符 常见的比较运算符包括： -eq 等于 -ne 不等于 -gt 大于 -lt 小于 -le 小于等于 -contains 包含 -notcontains 不包含 ``` 67 -eq 50 50 -eq 50 1gb -gt 1tb (1,2,3) -contains 1 (1,2,3)...

一.Powershell初识 1.基础概念 Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念，从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。 传统的CMD支持脚本编写，但扩展性不好，而Powershell类似于Linux shell，具有更好的远程处理、工作流、可更新的帮助、预定任务（Scheduled Job）、CIM等优点。 那么，如何进入Powershell呢？ 一种方法是在运行中直接输入Powershell打开，另一种方法是CMD中输入Powershell打开。 不同操作系统内置的Powershell是不一样的，比如win7或win2008，如何查看版本呢？ $psversiontable 输出结果如下图所示： 2.为什么强大？ 首先，它可以进行计算任务，包括计算1gb大小（以字节为单位），还有基本的运算。 其次，Powershell可以获取计算机的服务详细信息、状态等。 get-service 其显示结果如下图所示，采用动词+名词方式命名，比较清楚。 而CMD中无法获取services的（输入services.msc），它是以图形化方式显示出来的。 最后，由于Powershell具有以下特点，它被广泛应用于安全领域，甚至成为每一位Web安全必须掌握的技术。 方便 支持面向对象...

操作系统(Operating System，简称OS)是管理计算机硬件与软件资源的计算机程序。操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入设备与输出设备、操作网络与管理文件系统等基本事务。操作系统也提供一个让用户与系统交互的操作界面。 计算机的操作系统根据不同的用途分为不同的种类，从功能角度分析，分别有实时系统、批处理系统、分时系统、网络操作系统等。 实时系统主要是指系统可以快速的对外部命令进行响应，在对应的时间里处理问题，协调系统工作。 分时系统可以实现用户的人机交互需要，多个用户共同使用一个主机，很大程度上节约了资源成本。 分时系统具有多路性、独立性、交互性、及时性的优点，能够将用户-系统-终端任务实现。 批处理系统出现于20世纪60年代，批处理系统能够提高资源的利用率和系统的吞吐量。 网络操作系统是一种能代替操作系统的软件程序，是网络的心脏和灵魂，是向网络计算机提供服务的特殊的操作系统。借由网络达到互相传递数据与各种消息，分为服务器及客户端。而服务器的主要功能是管理服务器和网络上的各种资源和网络设备的共用，加以统合并控管流量，避免有瘫痪的可能性，而客户端就是有着能接收服务器所传递的数据来运用的功能，好让客户端可以清楚的搜索所需的资源。 操作系统主要包括以下几个方面的功能 ： ①进程管理，其工作主要是进程调度，在单用户单任务的情况下，处理器仅为一个用户的一个任务所独占， 进程管理的工作十分简单。但在多道程序或多用户的情况 下，组织多个作业或任务时，就要解决处理器的调度、 分配和回收等问题 。 ②存储管理分为几种功能：存储分配、存储共享、存储保护 、存储扩张。 ③设备管理分有以下功能：设备分配、设备传输控制 、设备独立性。 ④文件管理：文件存储空间的管理、目录管理 、文件操作管理、文件保护。 ⑤作业管理是负责处理用户提交的任何要求。 操作系统实例 嵌入式 嵌入式系统使用非常广泛的系统（如VxWorks、eCos、Symbian OS及Palm OS）以及某些功能缩减版本的Linux或者其他操作系统。某些情况下，OS指称的是一个内置了固定应用软件的巨大泛用程序。在许多最简单的嵌入式系统中，所谓的OS就是指其上唯一的应用程序。 iOS是由苹果公司开发的手持设备操作系统。苹果公司于2007年1月9日的Macworld 大会上公布这个系统，以Darwin为基础，属于类Unix 的商业操作系统。最初是设计给...