【小迪安全day05】系统及数据库

最新推荐文章于 2024-07-26 14:20:58 发布
最新推荐文章于 2024-07-26 14:20:58 发布
阅读量364 收藏 1
点赞数 1
文章标签: 数据库 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RichUee/article/details/128053121
版权

除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取。

常见漏洞分析图:
在这里插入图片描述

1、操作系统

(1)识别系统两个方法

法1:通过TTL值来判断操作系统,但判断不准确,不建议使用。
在这里插入图片描述

在这里插入图片描述
法2:nmap扫描
Nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
使用方法: nmap使用教程
nmap常用口令

下载链接: https://blog.csdn.net/qq_42716969/article/details/105243534

先试试ping不能ping通,然后用nmap -O命令获取www.baidu.com的操作系统信息
在这里插入图片描述

(2)操作系统层面漏洞类型对应意义

知道了是哪种操作系统,往那种操作系统方向去发展,寻找漏洞。

2、数据库

(1)数据库分类

按大小分类:
小型数据库:Access
中型数据库:MySQL
大型数据库:Oracle、SQL Server

常见脚本连接数据库的搭配:
ASP+Access,sql server
PHP+Mysql
ASPX+Mssql
Jsp+Mssql,oracle
Python+Mongodb
(Access、sql server不支持Linux)

端口号:
在这里插入图片描述

在这里插入图片描述

(2)数据库识别意义

数据库的不同,结构也会不同,每个数据库的安全机制、写法机制,功能都会不一样,产生的漏洞也会不一样。
不同数据库的攻击方法都会有不一样。

(3)数据库常见漏洞类型及攻击

弱口令:通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。
比如;用户名和密码都为root

(4)数据库漏洞影响范围

通过数据库漏洞,获取权限,对数据库进行一些修改,甚至可以获得网站的权限,对网站进行进行一系列的操作。

3、第三方层面

(1).如何判断有哪些第三方平台和软件
常见的第三方有Jboss,PHPmyadmin,vsftpd,teamview等。
大部分是通过端口扫描或者对网站路径进行扫描。

(2).简要为什么要识别第三方平台或软件
我们可以对第三方平台或者软件进行识别,来寻找漏洞。

RichUee
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小迪安全day12】WEB 漏洞——SQL 注入
RichUee的博客
12-04 887
WEB 漏洞-SQL 注入在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞是WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
小迪安全day11】WEB漏洞——必懂知识点
RichUee的博客
12-03 852
讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。右侧的漏洞是重点: CTF,SRC,红蓝对抗,实战等。每个漏洞的危害情况都是不同的,得到的东西也不同,影响范围也不一样; 例如:SQL注入直接获取到关于网站对应数据库里面的权限,将会影响到网站和服务器数据库,获得权限;高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行(直接影响到网站权限,获得数据或者网
小迪安全】Day5基础入门-系统数据库
qq_44312640的博客
10-19 288
判断系统漏洞的三个方面,操作系统数据库、第三方软件
小迪安全笔记day1
m0_61967111的博客
07-17 881
浅记一下我的网络安全学习历程
小迪安全day14】WEB漏洞——SQL注入之类型及提交注入
RichUee的博客
12-06 561
在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。
DAY4-5 小迪安全学习
weixin_68115909的博客
08-01 141
小迪安全]学习与整理。
小迪安全培训2023期笔记汇总-持续更新
热门推荐
今天是几号的博客
03-03 1万+
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
小迪安全》第4天 Web源码扩展
m0_56250796的博客
03-31 411
WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。如:获取某ASP源码后可以以默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等。总之,源码的获取将为后期的安全测试提供了更多的思路。关于WEB源码目录结构关于WEB源码脚本类型关于WEB源码应用分类关于WEB源码其他说明拿到源码必须可以从中获取目录结构便于了解架构;不同脚本语言/框架,数据库存储不一样、涉及到的安全漏洞也不一样;
小迪安全】Day04基础入门-30 余种加密编码进制&Web&数据库&系统&代码&参数值
2201_75772809的博客
04-28 701
MD5 值是 32 或 16 位位由数字"0-9"和字母"a-f"所组成的字符串SHA1 这种加密的密文特征跟 MD5 差不多,只不过位数是 40NTLM 这种加密是 Windows 的哈希密码,标准通讯安全协议AES,DES,RC4 这些都是非对称性加密算法,引入密钥,密文特征与 Base64 类似应用场景:各类应用密文,自定义算法,代码分析,CTF 安全比赛等BASE64 值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号=URL 编码是由数字"0-9"和字母"a-f"所组成
DAY 8 网络编程 数据库
10-20
DAY 8 网络编程 数据库
day05-店铺营业状态设置
11-03
"day05-店铺营业状态设置" 本节课程主要介绍了Redis的基本概念、安装、启动和停止服务、数据类型、常用命令等知识点。 Redis简介 Redis是一个基于内存的key-value结构数据库,具有高性能的读写能力,适合存储热点...
day05-Elasticsearch01
12-13
在这个“day05-Elasticsearch01”的学习资料中,我们将深入探讨Elasticsearch的核心概念和关键功能。 1. **Elasticsearch核心概念** - **节点(Node)**:Elasticsearch是以节点为基础构建的分布式系统,每个节点都...
day67 基于mysql数据库jdbcDruidjar包连接的购物系统
03-21
在本项目中,我们主要探讨的是如何利用Java的JDBC技术,通过Druid数据源连接MySQL数据库,构建一个购物系统。下面将详细讲解这个过程涉及的关键知识点。 首先,`jdbc`是Java Database Connectivity的缩写,是Java...
Day02操作数据库.rar
08-21
- 数据库(Database):存储数据的系统,提供数据的组织、存储和检索。 - 表(Table):数据库中的数据单元,由行和列组成。 - 字段(Field):表中的每一列,代表一种特定的数据类型。 - 记录(Record):表中...
Apollo使用(3):分布式docker部署
游王子的博客
07-24 510
Apollo 1.7.0版本开始会默认上传Docker镜像到,可以按照如下步骤获取。
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 252
数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 251
用户执行,因为环境变量配置在。
SQL基础入门:解锁数据库管理的钥匙
最新发布
WayneYalejk的博客
07-26 345
在数字化时代,数据已成为企业最宝贵的资产之一。为了高效地存储、查询和管理这些数据,SQL(Structured Query Language,结构化查询语言)应运而生。SQL不仅是数据库管理员的必备技能,也是数据分析师、开发人员等多个领域从业者的重要工具。本文将带您踏入SQL的世界,从基础概念到实际应用,一步步解锁数据库管理的钥匙。强调SQL在数据处理和分析中的重要性,鼓励读者通过实践不断深化对SQL的理解和应用。
软件漏洞分析:0day安全前沿与实操技巧
在看雪论坛出的0day安全前几章的介绍下,我们可以清晰地了解到此领域的重要性和深度。引子中的一句话"要成为一个改变“不可能”为“可能”的标点符号",不仅令人深思,更是对软件漏洞分析带来的无限可能性的一种憧憬...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值