静态网站渗透

最新推荐文章于 2022-11-22 14:51:19 发布
最新推荐文章于 2022-11-22 14:51:19 发布
阅读量1.9k 收藏 10
点赞数 1
文章标签: 安全漏洞 渗透测试 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vdieoo/article/details/109379458
版权
本文介绍了静态网站渗透的几个关键步骤,包括判断站点是否伪静态、搜索框注入测试、登录处测试、目录扫描以及C段分析。通过实例展示了如何使用SQLmap工具针对伪静态链接进行注入检测,如`http://www.xxx.com/id1/1*/id2/2`,并提供了相关资源链接以供深入学习。
摘要由CSDN通过智能技术生成

判断该站点是否伪静态。

伪静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统,后台就有一个设置伪静态功能,开启伪静态后,动态网页即被转换重写成静态网页类型页面,通过浏览器访问地址和真的静态页面没区别。前提服务器支持伪静态重写URL Rewrite功能

判断方法:

在浏览器里右键打开审查元素,控制台(console),输入代码或粘贴js代码

alert(document.lastModified); 回车执行,会弹出一个弹窗。

重新刷新网页,再用相同的方法在控制台里输入查询代码,再查看文件的最后修改时间,如果发现时间不同则可以判断它是伪静态。

https://i-blog.csdnimg.cn/blog_migrate/b2d2595b5c429a434411e25bb0792bf6.png

最低0.47元/天 解锁文章
Vdieoo
关注
SQL注入漏洞(二)
weixin_53872203的博客
03-27 8931
本文章仅供参考学习使用,不做任何违法犯罪行为!!! 一.SQL注入的本质:把用户输入的数据当作代码执行 条件: 用户能够控制输入; 原本程序要执行的代码,拼接了用户输入的数据SQL注入出现的地方:用户一切可以输入的地方;数据库可能导入导出的地方; 动态网站:sp,jsp,aspx等极大可能存在sql注入漏洞静态网站像html与数据库没有太对的交互,不会存在sql注入漏洞静态网站:看着是静态网站实际上是动态网站 url传参;表单post;Cookie;user-agent;X-Forwa
网站渗透
11-19
文档存放百度云链接 链接失效 联系我
渗透测试】关于伪静态页面
ssrf
12-23 1220
目录一 、phpstudy配置伪静态1 检测Apache是否支持mod_rewrite2 让apache服务器支持.htaccess3 建立.htaccess 文件 一 、phpstudy配置伪静态 1 检测Apache是否支持mod_rewrite 通过php提供的phpinfo()函数查看环境配置,通过Ctrl+F查找到Loaded Modules,其中列出了所有apache2handler已经开启的模块,如果里面包括mod_rewrite,则已经支持,不再需要继续设置。 如果没有开启mod_rew
【甄选靶场】 Vulnhub百个项目渗透——项目三十一:SpyderSecChallenge(静态页面的分析突破,js加密混淆,视频文件分析)
人间体佐菲的博客
10-05 864
【甄选靶场】 Vulnhub百个项目渗透——项目三十一:SpyderSecChallenge(静态页面的分析突破,js加密混淆,视频文件分析)
静态页面-渗透思路
学者博客
01-21 9777
在日常的测试中,经常会遇到静态页面,尤其是政府类的站点(前提经过授权),此时就会非常的棘手,在下多试验后,发现以下思路或可以帮助我们跨越这个障碍。 判断该站点是否伪静态。 伪静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统,后台就有一个设置伪静态功能,开启伪静态后,动态网页即被转换...
入侵HTML静态网站
04-08
详细讲解入侵HTML静态网站对于静态网站我真的束手无策吗? 高手闪过吧 教程开始 基本上都是静态的 详细讲解入侵HTML静态网站对于静态网站我真的束手无策吗? 高手闪过吧 教程开始 基本上都是静态
学生DW静态网页设计 红色中国文化主题网站设计 ——美丽中国1页HTML+.md
08-10
它集绘画、雕刻和印刷为一体,根据水墨渗透原理显示笔触墨韵,既可用以创作体现自身特点的艺术作品,也可逼真地复制各类中国字画。木版水印字画在我国具有悠久的历史。远在唐代,单色木版印刷已经具有相当水平。明末...
web渗透思路
天威一号
11-07 540
渗透思路如下: 0x01信息收集: 目前实战过了两次,越来越能意识到信息收集对渗透测试工作的重要性,web渗透不是仅仅局限于用公开漏洞的EXP直接打过去,还有很多“野路子”可以使用。 ①nmap扫描开放端口,常用端口如下: 21——-FTP服务 22——-SSH 23——-Telnet 25——-SMTP 80——-HTTP 443—–HTTPS 1433—–SQL server Oracle—...
Centos Linux下使用Metasploit渗透android,移动端静态网站开发
m0_65511857的博客
12-26 600
-p, --payload 使用攻击负荷。指定一个’-'或者输入(stdin)用户自定义的payloads(攻击负荷)。 LHOST ip地址 LPORT 自定义端口(注意,那些所谓的防火墙全踏马都要关闭,记得端口要放行且没被占用,不然渗透没软用) ![](https://imgconvert.csdnimg.cn/aHR0cHM6Ly9pbWcyMDE4LmNuYmxvZ3MuY29tL2ktYmV0YS83OTIzNjEvMjAxOTEyLzc5MjM2MS0yMDE5MTIwNzE2M.
做一名安静的Web渗透测试人员 要必备的8种素质和技能
weixin_34344403的博客
07-03 886
无疑,Web安全测试工程师或Web渗透测试工程师的任务就是审计公司的Web应用程序、Web服务、Web服务器的安全性。那么,公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”?下面的这八项素质或技能可以为公司选聘Web渗透测试人员提供参考: 1. Web渗透测试人员拥有一定的开发背景(知道如何编码) 公司不可能聘用一位连编写代码都不懂人成为...
干货!一次伪静态页面的SQL注入!白帽黑客实战 。
最新发布
m0_60571990的博客
11-22 800
干货!一次伪静态页面的SQL注入!白帽黑客实战 。
web渗透测试
天威一号
10-23 267
web渗透测试
渗透时关于伪静态网站识别以及渗透方式
qq_41545233的博客
06-12 1982
静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统,后台就有一个设置伪静态功能,开启伪静态后,动态网页即被转换重写成静态网页类型页面,通过浏览器访问地址和真的静态页面没区别。前提服务器支持伪静态重写URL Rewrite功能
浅谈网站渗透的常用方法和一般思路
三朝看客
07-18 3232
首先介绍下什么样站点可以入侵 我认为必须是动态的网站 如ASP PHP JSP等代码编写的站点 如果是静态的(.htm或html),一般是不会成功的 14种可利用的入侵方法 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了! 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传...
Web安全-伪静态网页
道阻且长,行则将至。
02-02 2893
初步认识 “伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页被称为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。 在平时的测试过程中我们经常会看到这样一类奇特的地址:http://xxx.xxx.xx.xx:xxx/...
拦截静态资源.html(伪静态)
安逸llllll的博客
06-25 670
拦截静态资源.html(伪静态)
WEB纯静态页面与客户端无交互的安全探讨-渗透测试技术
"该资源主要讨论了Web页面的纯静态特性以及早期的Web渗透技术,强调了在没有脚本交互的环境下,网络安全的重要性。内容涵盖了CGI的出现、数据库的引入以及SQL注入的原理和危害,同时提及了渗透测试的目的和方法。" ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值