- 博客(13)
- 收藏
- 关注
RSS订阅原创 Web主动信息收集
1.首先,我们想要知道服务器是否响应ping,或者主机是否是启动状态:2.现在,我们可以知道这个主机是在启动的状态,让我们看看它的哪些端口是打开的:3.现在我们将告诉Nmap向服务器询问它正在运行的服务版本,并且据此来猜测操作系统:#namp -sV -0 192.168.123.111. Nmap有几个脚本可以来测试WAF中是否存在于所有检测到的HTTP端口.让我们来尝试一下# nmap -sT -sV -p 80,443,8080,8081 --script=http-waf-detect 192.16
2024-06-20 10:24:55
489
原创 第七章 公有云运维网站配置
在代码质量、运行效率、负载能力、安全等级、功能可操控性和权限严密性、效率最优化和负载能力最佳化设计等方面都在广大用户中有良好的口碑。D 在云主机,解压网站文件到ftp根目录下的default子目录中,此目录就是网站的根目录(完整路径/data/wwwroot/default)。默认传输模式为ascii,即文本文件,而这个网站文件不是文本格式文件。但由于历史久远,代码质量良莠不一,PHP发展至今,各种框架百花齐放。因在linux中,解压和压缩程序默认为tar程序,要符合它的压格式才方便操作。
2024-06-20 10:20:14
856
原创 创建和管理数字证书
1.主要环节(1).了解XCA软件的基本功能(2).通过XCA创建根证书(3).通过XCA创建证书模板(4).创建实体证书2.理论介绍数字证书是网络通信中标志通信实体身份信息的一系列数据,其作用类似于现实生活中的身份证。身份证中包含人的姓名等描述信息,数字证书中也包含了通信实体的基本描述信息:身份证中包含身份证号,用来标识每一个人,数字证书中包含通信实体的公钥。
2023-12-25 08:59:56
877
原创 window活动目录与域
1.什么是域**域(Domain)**是一个有安全边界的计算机集合(安全边界的意思是,一个域中用户无法访问另一个域中的资源),可以看做升级版工作组,必须合法身份登录才行(还可以对资源加用户权限)。**域控制器(Domain Controller,DC)**是域中的一台类似管理服务器的计算机。域内计算机互相访问,都要经过域控制器审核。域控制器中存在有这个域的账户、密码、属于这个域的计算机等信息构成的数据库。2.什么是活动目录。
2023-11-15 14:40:16
437
原创 确认并利用 SQL 盲注漏洞
在服务器端,sql 注入和 sql 盲注是同类型的漏洞,都是因为对输入内容不检测或检查不充分导致脏数据进入了数据库中。我们这个语的意思是猜测第一个字母是不是同样的,我们把该请求发送到intruder 模块,将a设置为改变参数。1. 这个表单和上面的 sql 注入表单(SQL Injection)一模一样,输入1可以查看id为1的用户信息。15.我们的载荷列表是a-z,1-9,所合。20.下面继续猜解后面的字符。最后我们测试出来的结果是 dvwa@%,最后一个%匹配的是空字符,所以用户名是 dvwa@
2023-11-04 22:23:31
114
1
原创 WeB使用代理、爬行器和爬虫
实战演练DirBuster是一款使用Java语言写的应用程序,它可以从Kali的主菜单或在终端使用dirbuster命令来使用。以下是使用它所需的步骤:1.找到Applications |03-Web Application Analysis / web Crawlers & DirectoryBruteforcing lDirbuster。(注:按照这个路径在Kali可能无法找到,但是你可以在终端下输入dirbuster命令打开这个软件)2.在 DirBuster窗口中,将目标URL设置为靶机。
2023-11-04 21:50:40
734
1
原创 识别HTTPS加密参数
在某种程度上,我们习惯于假设,当连接使用带有 SSL/TLS 加密的 HTTPS 时,它是安全的,任何拦截它的攻击者只会收到一系列无意义的数字。当然,这可能不是绝对正确的,这需要正确地配置HTTPS 服务器,以提供强大的加密层,并保护用户免受中间人(MITM)攻击或密码分析。在SSL协议的实现和设计中发现了许多漏洞,并且发现其继任者 TLS 在某些配置下也很脆弱,因此在任何 web 应用程序渗透测试中都必须对安全连接进行测试。
2023-09-26 21:25:02
329
原创 使用OWASPZAP进行扫描漏洞
OWASPZAP是我们已经在本书中用于各种任务的工具,在其众多功能中,它包括一个自动漏洞扫描程序。它的使用和报告生成将在本文中介绍OWASPZAP能够执行主动和被动漏洞扫描,被动扫是0WASPZAP在我们浏览发送数据和点击链接时进行的非侵入式测试。主动测试涉及对每个表单变量或请求值使用各种攻击字符串,以便检测服务器是否响应我们可以称之为易受攻击的行为。OWASPZAP 拥有各种技术的测试符串,首先确定我们的目标使用的技术是有用的,以便优化我们的扫描并减少被检测或导致服务中断的可能性。
2023-09-26 20:49:20
840
原创 Linux账号和权限管理
1.用户账户分类:超级用户:root 用户是 Linux 操作系统中默认的超级用户账号,对本主机拥有至高无上的权限,类似于 Windows 操作系统中Administrator 用户普通用户:账号需要由 root 用户或其他管理员用户创建,拥有的权限受到一定限制,处理问题受到限制,一般只在用户自己的宿主目录中拥有完整权限。
2023-06-28 15:32:57
643
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人