2--Web安全、渗透测试、基础入门--搭建安全、Web源码、系统及数据库

于 2024-07-21 20:00:34 发布
阅读量113 收藏 1
点赞数 5
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77946674/article/details/140587422
版权

搭建安全

常见搭建平台脚本启用

ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境

Web源码中敏感文件

后台路径,数据库配置文件,备份文件等

域名IP目录解析安全问题

IP或域名解析Web源码目录对应下存在的安全问题:

域名访问

只能发现一个文件夹下的所有文件,访问网站时一般会指向某个目录

IP访问(结合类似备份文件目录)

可以发现更多的内容,可以发现程序源码备份文件和敏感信息,访问网站时一般会指向根目录

常见安全测试中的安全防护

学校内网和企业内内外会出现,会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。身份验证和访问控制,基于用户的限制。

基于中间件的安全漏洞

一、IIS

1.PUT漏洞

2.段文件名猜解

3.远程代码执行

4.解析漏洞

二、Apache

1.解析漏洞

2.目录遍历

三、Nginx

1.文件解析

2.目录遍历

3.CRLF注入

4.目录穿越

四、Tomcat

1.远程代码执行

2.war后门文件部署

五、jBoss

1.反序列化漏洞

2.war后门文件部署

六、WebLogic

1.反序列化漏洞

2.SSRF

3.任意文件上传

4.war后门文件部署

七、其他中间件相关漏洞

1.FastCGI未授权访问、任意命令执行

2.PHPCGI远程代码执行

Web源码

目录结构

数据库配置文件、后台目录、模板目录、数据库目录等

  • index.asp 根据文件后缀名判断
  • admin 网站后台路径
  • data 数据相关的目录
  • install 安装相关的目录
  • member 会员相关的目录
  • template 模板目录(和网站的架构有关)
  • include 数据库配置文件可能在里面

脚本类型

ASP、PHP、ASPX、JSP、JAVAWEB等脚本类型源码

应用分类

  • 门户:综合类漏洞
  • 电商:业务逻辑突出
  • 论坛:XSS逻辑突出
  • 博客:漏洞较少
  • 第三方:据功能决定

其他补充

框架或非框架

CMS识别:人工、工具、平台识别

开源或内部:

        开源:直接找漏洞或审计

        内部:常规渗透测试

源码获取:备份获取、CMS识别后获取、特定源码特定渠道

系统及数据库

操作系统层面

数据库层面

灯火不休ᝰ
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一款基于Python-Django的多功能Web安全渗透测试工具源码.zip
05-08
这款基于Python-Django的Web安全渗透测试工具源码是一个强大的多用途平台,旨在帮助安全专家和开发者检测并解决Web应用程序的安全问题。它整合了多种功能,包括漏洞扫描、端口扫描、指纹识别、目录扫描、旁站扫描...
基于Python-Django的多功能Web安全渗透测试工具设计.zip
06-09
资源包含文件:设计报告word+项目源码数据库文件 本项目命名为 Sec-Tools,是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息泄露...
1--Web安全渗透测试基础入门--数据包
最新发布
2301_77946674的博客
07-21 651
超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准,是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范,简单点说就是一种固定的通讯规则。Cookie: Cookie实际上是一小段的文本信息(key-value格式)。
web渗透-------基础入门
hhhjjjllll的博客
04-25 1256
本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,
web安全渗透测试基础知识
2301_76346422的博客
03-26 1119
渗透测试入门渗透测试前置知识基本行业术语 渗透测试前置知识 基本行业术语 肉鸡:是指被我们控制而不被对方发觉,可以随意操作的电脑或服务器 木马:伪装成正常程序,获取控制权限 黑页:现在一般很少会做这种相对脑残的行为 挂马:在别人网页中注入木马,使浏览者中马 大马:功能强大的网页后门,能操作文件、执行命令、操作数据库 小马:功能比较单一的网页后门,一般是上传保存大马 后门: 拖库:从数据库导出数据,也指被黑客导出数据库数据 社工库:黑客把用户数据整合分析,集中归档到的一个地方 撞库:黑客获取到用户账号密码时
渗透测试-基础入门-系统数据库_5
weixin_51446936的博客
06-29 374
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 除去前面写到过的搭建平台中间件,网站源码外,容易受到攻击的还有操作系统数据库,第三方软件平台等,其中此类攻击也能直接影响到WEB或服务器的安全,导致网站或服务器权限的获取 二、知识点 2.1 操作系统层面 2.1.1 识别操作系统常见方法 对方有网站通过网站识别,没网站通过扫描工具进行扫描 (1)通过大小写识别 windows操作系统不区分大小写 linux区分大小写 (2)通过TTL来判断(TTL判断不准确,不建议使用) windows
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用文档说明.zip
04-24
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用文档说明.zip本项目是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息...
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用说明(优质项目).zip
04-24
基于Python-Django的多功能Web安全渗透测试工具设计源码(优质项目).zip本项目是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 811
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试安全审计的工具,供渗透测试安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 515
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 566
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1066
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 657
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 833
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 917
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
HLS加密技术:保障流媒体内容安全的利器
jiamisoft的博客
07-17 975
HLS是一种由苹果公司提出的基于HTTP的流媒体网络传输协议,它允许将音视频文件编码为可播放的多媒体流,并通过HTTP协议进行传输。这种传输方式不仅具有广泛的网络适应性,还支持自适应比特率和分辨率,从而为用户提供流畅的观看体验。然而,HLS本身并不包含专门的加密方式,需要配合其他加密和防护措施来实现内容的安全传输。HLS加密技术的核心思想是将视频流分段,并对每个分段进行加密处理。在客户端播放时,需要先获取解密密钥才能正常播放。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 471
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
防火墙--内容安全
banliyaoguai的博客
07-20 682
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值