用户名

一、背景 今天看了一篇 基于约束条件的SQL攻击 的文章，感觉非常不错，但亲自实践后又发现了很多问题，虽然利用起来有一定要求，不过作者的思想还是很值得学习的。原文中的主旨思想是利用数据库对空格符的特殊处理方式来达到水平越权的目的。以下内容以MySQL为例，其它数据库可能也存在这个问题（文章作者实验了MySQL和SQLite），我也在MySQL上复现了这个问题。 二、知识点 数据库字符串比较 ：在数据库对字符串进行比较时，如果两个字符串的长度不一样，则会将较短的字符串末尾填充空格，使两个字符串的长度一致，比如，字符串A:[String]和字符串B:[String2]进行比较时，由于String2比String多了一个字符串，这时MySQL会将字符串A填充为[String ]，即在原来字符串后面加了一个空格，使两个字符串长度一致。看如下两条查询语句： select * from users where username='Dumb' select * from users where username='Dumb ' 它们的查询结果是一致的，即第二条查询语句中Dumb后面的空格并没有对查询有任何影响。因为在MySQL把查询语句里的username和数据库里的username值进行比较时，它们就是一个字符串的比较操作，符合上述特征。 INSERT截断 ：这是数据库的另一个特性

本文不是写SQL注入攻击，除了SQL注入攻击之外，还有一种SQL数据库的漏洞。写本文的目的主要是让开发者在构建网站时，能意思到这个安全问题。这个漏洞并不是太常见，我将为展示这种攻击手法，希望大家能引以为鉴，及时做好相应的防御措施。 在注册新用户时候，开发者可能会按照以下的逻辑来运行。 首先检查用户名密码： "SELECT * FROM users WHERE username='用户名'" 如果用户名在数据库中不存在，执行以下SQL语句 INSERT INTO users(username, password) VALUES ('用户名','密码')" 以下是验证用户的登录信息： "SELECT username FROM users WHERE username='用户名' AND password='密码' "; 按理说这并不存在安全问题。应该是不会出错了。 但是，事实并不是想的那样。攻击者仍然可以用任意用户的身份登录系统。 在进行攻击之前，首先要说一下几个注意点。 在SQL的执行过程中，字符串末尾的空格会被删除掉。比如，一个字符串“riyudeshui” ，其实等同于“ruyudeshui ” ，大部分的情况下是成立的。比如我们使用如下两个SQL语句进行查询： SELECT * FROM users WHERE username='ruyudeshui'; SELECT *

weblogic安装后，很久不用，忘记访问控制台的用户名或者密码，可通过以下步骤来重置用户名密码。 版本：WebLogic Server 11g 说明：%DOMAIN_HOME%：指WebLogic Server 域(Domain）目录 例如我的做测试的域的根目录 DOMAIN_HOME=D:/bea10/user_projects/domains/testcluster_domain 1.为了保证操作安全，备份%DOMAIN_HOME%/security/DefaultAuthenticatorInit.ldift 2. 进入%DOMAIN_HOME%/security目录，执行下列命令： java -classpath D:/bea10/wlserver_10.0/server/lib/weblogic.jar weblogic.security.utils.AdminAccount <NewAdminUserName> <NewAdminPassword> . 例如： 打开一个cmd窗口，进入D:/bea/user_projects/domains/base_domain/security 执行java -classpath D:/bea/wlserver_10.3/server/lib/weblogic.jar weblogic.security.utils

1、在使用intruder模块之前完成proxy代理功能，即将目标域名导入intruder模块 2、Target（目标) 默认是目标域名IP 3、Pay Positions（攻击位置） 可以修改攻击位置 Attack type 有四种 Sniper: 使用单个字典，对用户名或者密码中的一个进行爆破，另一个保持原有数据，不会同时进行修改 Battering ram: 使用单个字典，对用户名和密码同时修改爆破，用户名和密码修改成一样的数据 Pitchfork： 使用两个字典，用户名和密码使用不同的字典 Cluster bomb: 使用多个自带你，对用户名和密码都同时修改，有多种组合，请求数量比较多 4、Payloads 有关攻击载荷的设置 首先 Payload Sets ,主要设置载荷类型 Payload options 上述的载荷类型会决定载荷选项的内容，一般基于前面的设置之后，再根据要修改的内容选择合适的字典就可以进行爆破了 Payload processing 载荷处理，在进行一系列设置之后可以开始攻击，攻击完之后保存结果，同样通过result查看结果 5、Options 入侵选项 Request Headers 请求头部 Request Engine 请求引擎 需要设置线程数、重试数 重试间隔 Attack Results 攻击结果 Grep-Match Grep-匹配

忘记了ArcGIS Server Manager的密码，可以采用以下方法进行重置。 1、找到ArcGIS Server的安装目录 D:\Program Files\ArcGIS\Server\tools\passwordreset。 2、使用命令行进入该目录。 3、使用命令查看用户列表：PasswordReset -l。 4、使用命令重置密码：PasswordReset -p 新密码。看到修改成功的提示，即表示修改成功。 5、重启服务，重新打开浏览器登录ArcGIS Server Manager验证。 另外，在站点文件下（建立站点的时候，创建了一个文件夹名字叫做arcgisserver，里面有两个主要文件夹directories和config-store.）arcgisserver下，定位到 config-store\security\super\下，里面有两个JSON文件，其中super.json文件，保存着站点的用户名和密码（被加密过），可以用记事本打开查看。 来源： https://www.cnblogs.com/hans_gis/p/11898317.html

OpenSSH 7.7前存在一个用户名枚举漏洞，通过该漏洞，攻击者可以判断某个用户名是否存在于目标主机中。 参考链接： http://openwall.com/lists/oss-security/2018/08/15/5 https://github.com/Rhynorater/CVE-2018-15473-Exploit https://www.anquanke.com/post/id/157607 漏洞复现 使用CVE-2018-15473-Exploit，枚举字典中的用户名： python3 sshUsernameEnumExploit.py --port 20022 --userList exampleInput.txt your-ip 可见，root、example、vulhub、nobody是存在的用户，rootInvalid、user、phithon是不存在的用户。 来源： https://www.cnblogs.com/yyxianren/p/12426228.html

原文： https://blog.csdn.net/dml1220/article/details/44150807 具体需求： 有一个登录页面， （假如上面有2个textbox, 一个提交按钮。 请针对这个页面设计30个以上的 test case.） 此题的考察目 的： 面试 者是否熟悉各种 测试 方法，是否有丰富的 Web测试 经验， 是否了解Web开发，以 及设计Test case的能力 　　这个题目还是相当有难度的， 一般的人很难把这个题目回答好。 首先，你要了解用户的需求，比如这个登录界面应该是弹出窗口式的，还是直接在网页里面。对用户名的长度，和密码的强度（就是是不是必须多少位，大小写，特殊字符混搭）等。 还有比如用户对界面的美观是不是有特殊的要求？（即是否要进行UI测试）。剩下的就是设计用例了 ，等价类，边界值等等。 请你记住一点，任何测试，不管测什么都是从了解需求开始的。 一、 功能测试 (Function test) 什么都不输入，点击提交按钮，看提示信息。（非空检查） 输入正确的用户名和密码，点击提交按钮，验证是否能正确登录。（正常输入） 输入错误的用户名或者密码, 验证登录会失败，并且提示相应的错误信息。（错误校验） 登录成功后能否能否跳转到正确的页面（低） 用户名和密码，如果太短或者太长，应该怎么处理（安全性，密码太短时是否有提示） 用户名和密码，中有特殊字符

新建用户和授权 新建，修改用户信息 参考：https://www.cnblogs.com/stfei/p/9184320.html；http://c.biancheng.net/view/2608.html 语法格式： CREATE USER <用户名> [ IDENTIFIED ] BY [ PASSWORD ] <口令> 各部分参数解释： <用户名>： 格式为 ‘user_name’@‘host_name’，用户名@主机名；若只给了用户名，主机名默认为%。 [ PASSWORD ] ： 可选，这是一个关键字，下面例子中未使用 IDENTIFIED BY子句 ：用于指定用户账号对应的口令，若该用户账号无口令，则可省略此子句 <口令>： 就是平常说的密码 如果两个用户具有 相同的 用户名和 不同的主机名 ，MySQL 会将他们 视为不同的用户 ，并允许为这两个用户分配不同的权限集合。 #格式：CREATE USER < 用户名 > [ IDENTIFIED ] BY [ PASSWORD ] < 口令 > #实例， mysql > CREATE USER 'james' @ 'localhost' -> IDENTIFIED BY 'tiger' ; **上例解释L:**创建了一个用户名是：james，密码是：tiger，主机是localhost 创建、删除修改用户及修改密码 #

--属主用户登录 grant select on 属主用户名.序列名 to 其他用户名; grant update(字段名1,字段名2,字段名3……) on 属主用户名.属主用户表名 to 其他用户名; 来源： https://www.cnblogs.com/stuka/p/12409927.html

目录 一、实验目的 二、实验内容 三、实验报告 1. 实验环境介绍 2. 常用命令使用 3. 剖析ps命令 4. 通过该实验产生新的疑问及解答 一、实验目的 熟练Linux命令行操作。 二、实验内容 使用 man 查询命令使用手册 基本命令使用 三、实验报告 在写报告之前，先仔细阅读： 将作业提交到班级博客的一些注意事项 。 在博文开头给出你的个人信息 提交实验报告，从下面开始（在这之前的内容不需要拷贝到你的实验报告）。 姓名 学号 班级 1. 实验环境介绍 给出实验环境： 操作系统：（详细到版本） 平台：（Cygwin，虚拟机，双操作系统，macOS） 用户名设为自己名字的拼音，举例，刘看山，那么操作系统用户名可以是 kanshan 、 liukanshan 。并给出一个带自己名字的命令行窗口截图。 附：Ubuntu修改用户名方法 打开终端，进入特权模式： sudo su 打开文文件 gedit /etc/passwd ，找到代表你的那一行，修改用户名为新的用户名（注意：只修改用户名！后面的全名、目录等不要动！） 打开文件 gedit /etc/shadow ，找到代表你的那一行，修改用户名为新用户名 gedit /etc/group ，你应该发现你的用户名在很多个组中，全部修改 修改完，保存，重启 还搞不定的，参考这里： How do I change my username?