web安全
文章平均质量分 66
老韩讲安全
一个英语渣渣的信息安全工程师,会开发会安全会逆向会渗透
展开
-
跟老韩学安全之信息收集
可以直接配合:password filename:database.php 搜索所有database.php文件中包含password内容的。在渗透测试过程中信息收集的占比是很大的,因为在很多情况下资产数量会影响到你的结果产出,所以我们需要尽可能的收集全目标资产。用法:dnsburte.py -d 0xbuff.live -f dnspod.csv -o 0xbuff.log。用法:sublist3r.py -d 0xbuff.live -b -o 0xbuff.txt。原创 2023-02-20 08:13:22 · 473 阅读 · 0 评论 -
跟老韩学安全之靶场搭建
我们下载好源码之后,将源码复制黏贴到phpstudy的www目录中,随后我们使用navicat for mysql链接本地mysql创建三个库,分别为webug、webug_sys、webug_width_byte(这里是因为webug并不像其他靶场一样有自动创建的功能,我们需要手动创建数据库后进行数据导入),随后我们可以双击打开数据库,随后在表位置右键->运行sql文件,这里我们选择webug目录里面sql目录下的sql文件对应名称进行导入。原创 2023-02-20 08:11:42 · 376 阅读 · 0 评论 -
跟老韩学安全之虚拟机安装
虚拟机是我们日常学习及攻击过程中常用的系统之一,在windows专业版中是自带的hyper-v,同样也有一个叫虚拟机沙箱的工具。这里提示对我们刚才所设置的虚拟机配置进行安装,过程中会安装一些驱动,提醒我们可能会断网,我们可以不予理会继续进行安装步骤,选择“是”后选择安装。我们可以在其官网直接进行下载,点击download后直接选择windows host。点击更该选择安装,选择想要安装的磁盘。选择好后点击下一步。完成之后,点击继续,出现如下界面。接着点击下一步,得到如下界面。来了来了,重要的步骤来了。原创 2023-02-18 08:01:53 · 74 阅读 · 0 评论 -
跟老韩学安全之HTTP协议
Connection:连续发送标识,大多在post请求,如果请求的信息超过一个请求包的量,那就需要再发包。POST ----有请求内容,回相服务器发送大量数据,GET则发送不了,请求数据在post请求报文中。post比get多一个请求报文,请求行和请求头一样,请求头空一行下面就是请求报文。HEAD ----不返回消息主体,跟GET相似,可以用来测试这个资源存不存在。GET----单纯的请求有个页面,无请求内容,请求数据直接显示在url中。PUT ----从客户端向web服务器传送的数据代替指定的资源。原创 2023-02-18 07:54:36 · 103 阅读 · 0 评论 -
跟老韩学安全之网站工作原理
1.http协议通信就需要url,url由域名(ip也可以)、web服务器、端口(默认80端口)组成。http协议:客户端与web服务器在连接之前签订协议,上面说的请求和响应也就是http请求和响应。https比http更安全,在http的基础上加入SSL(加密传输)web服务器接收到请求,将http响应信息返回给客户端。连接成功,客户端再向web服务器发送http请求。www.test.com:80就是域名及端口。客户端先向服务器(80端口)建立tcp连接。其中http://就是http协议。原创 2023-02-18 07:53:33 · 79 阅读 · 0 评论 -
跟老韩学安全之网站工作流程
只有知道这个域名的真实ip地址才能通信,所以浏览器会像DNS服务器(域名解析服务器)询问,询问后将域名相对应的ip地址信息保留到主机上的host文件里。web服务器接收到请求(就是1.2的内容),向客户端返回响应。浏览器知道了ip地址,向其web服务器发送请求。这只是一个大概工作流程,其中还有好多细节。浏览器接收到服务器的响应信息,将。,在浏览器上搜索这个域名。页面显示在浏览器上。原创 2023-02-18 07:53:25 · 109 阅读 · 0 评论 -
跟老韩学安全之网站运行原理
4.用户点击查看页面,web服务器接收到客户端的请求,判断是动态还是静态,静态无需和数据库互动,web服务器直接将相应的数据返回给客户端。如果是动态请求(查询neo),web服务器会交给php处理,让其与数据库进行交互,数据库进行查询neo的数据,再返回给客户端。就像是客户端要查询id=1的信息,中间件将发来的查询收到,然后解释语言与数据库互动,查询id=1的信息。2.静态网页:不需要交互,不经过php解析,不用数据库,速度比动态网站快。3.伪静态网页:看起来和静态网页格式一样,但到后端有与数据库交互。原创 2023-02-18 07:50:41 · 80 阅读 · 2 评论