C10第六周作业

于 2024-10-06 23:41:34 发布
阅读量92 收藏 1
点赞数 4
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_okey/article/details/142728539
版权

一.burp局部代理:

以火狐浏览器为例,在火狐浏览器上常规设置里找到网络设置,点击手动配置设置代理,在http代理里输入127.0.0.1,端口为8080,或者使用拓展Foxyproxy,在里面输入同样设置,即可设置局部代理(仅火狐浏览器有效)

burp全局代理:在edge浏览器里打开设置,在系统和性能里打开计算机代理设置,输入127.0.0.1,端口为8080,或者直接在电脑设置里打开代理设置,同样的,即可完成全局代理。

二.对https站点抓包:

三.实现爬虫

在target中的site map中选择一个目录为例,在工具中使用content discovery,爬取目标站点,在control中点击session not run进入session is run进入爬虫状态,在site map中可得到站点树,与target中的site map 不同的是该站点树没有风险项显示,站点树截图如下:

四.burp被动扫描,burp中的dashboard中的两个选项开启,即为已经被动扫描,或在站点树中选择passsively scan 开启被动扫描,下面为dvwa 靶场的被动扫描 报告

主动扫描:在站点树中选择actively scan开启主动扫描,或新加scan扫描,下面为dvwa靶场的主动扫描:

五.(1)靶场中老李的的账号为laoli或者掺杂大写,密码为生日1972年的某一天(可能是我爆破时间晚的原因,靶场已有问题,没有爆破成功,即使密码正确也失败)

(2)靶场中账号为Magedu,密码在字典中(可能是我爆破时间晚的原因,靶场已有问题,没有爆破成功,即使密码正确也失败)

Y_okey
关注
网络安全c10作业 html
08-16
网络安全c10作业 html
ER3B-C10 机器人拆卸作业指导书(拆装版机器人适用).pdf
09-06
**ER3B-C10 机器人拆卸作业指导书** 本指导书主要针对埃夫特智能装备股份有限公司的ER3B-C10机器人,旨在提供详细的拆卸作业流程,确保在拆装过程中遵循正确的步骤,保护设备并保障操作人员的安全。埃夫特智能装备...
C10KClient.java
08-27
通过多个ip连接netty服务器模拟百万设备连接,客户端最好跟服务器在同一台机子上,用局域网机子的实践中未走通,原因是因为在局域网配置多个ip后无法跟服务器进行通信,原因不明,知道什么原因的小伙伴希望不吝赐教...
fidia菲迪亚C10C20系统说明
02-27
### fidia菲迪亚C10C20系统说明 #### 概述 菲迪亚(Fidia)作为数控机床领域的佼企之一,在其产品线中推出了C10-C20系列数控系统,该系列系统旨在为不同类型的金属加工设备提供高效、精准的控制解决方案。C10-C20...
BZX84C10LT1的技术参数
12-11
产品型号:BZX84C10LT1齐纳击穿电压Vz最小值(V):9.400齐纳击穿电压Vz典型值(V):10齐纳击穿电压Vz最大值(V):10.600@Izt(mA):5齐纳阻抗Zzt(Ω):20最大功率PMax(W):0.230芯片标识:Z9封装/温度(℃):SOT-23/-65~150价格/1...
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
weixin_42462436的博客
10-03 1458
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
【网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 307
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
Web安全 - 文件上传漏洞(File Upload Vulnerability)
小工匠
10-02 1775
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:通过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:通过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
Web安全 - 跨站点请求伪造CSRF(Cross Site Request Forgery)
小工匠
09-29 1323
CSRF (Cross-Site Request Forgery,跨站请求伪造) 是一种攻击方式,攻击者诱导用户在不知情的情况下发起非授权的请求。例如,用户在登录某个站点后,攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接,利用用户已登录的状态,发起用户意图之外的操作,如转账、修改账户设置等。:在每次受保护的请求中,服务器生成一个唯一的CSRF Token,注入到表单或请求头中。:对于敏感操作,可以要求用户进行额外的身份验证,如验证码或短信验证,防止攻击者即便利用用户的认证状态,也无法完成关键操作。
网络安全:保护您的数字世界
不迁怒,不贰过。小知识,大智慧。
09-29 1230
在当今数字化时代,网络安全已经成为每个人都应该关注的重要议题。随着互联网的普及和信息技术的快速发展,我们的个人信息、财务数据甚至国家安全都面临着来自网络的威胁。网络攻击日益猖獗,黑客利用漏洞和技术手段,威胁着我们的数字世界的安全。在这个信息爆炸的时代,数据的泄露和被篡改可能带来严重的后果,影响个人隐私、金融安全甚至国家稳定。因此,保护我们的数字世界免受网络攻击变得至关重要。本文将探讨网络安全的重要性,介绍网络安全的基本概念和最佳实践,帮助读者更好地了解如何保护自己在数字世界中的安全。让我们共同努力,建立一个
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1101
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
什么是“0day漏洞”?
分享关于Java编程、数据库管理和信息安全方面的最佳实践
09-29 734
0day漏洞是信息安全中的“幽灵”,因为它的隐蔽性和破坏性往往超出我们的预期。虽然普通用户和企业无法完全规避0day漏洞,但通过保持良好的安全习惯和使用合适的防护工具,可以在一定程度上降低受到0day攻击的风险。信息安全永远在变,防护措施也需要不断更新。在快速发展的网络环境中,我们只有时刻保持警惕,才能最大限度地保护我们的数据和隐私。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-29 2191
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
Web安全 - 重放攻击(Replay Attack)
小工匠
10-01 1271
重放攻击(Replay Attack)是一种网络攻击方式,攻击者通过截取并重复发送已经捕获的合法通信数据包,企图在受害者不知情的情况下冒充合法用户进行操作。这种攻击常见于不安全的网络协议中,攻击者无需破解通信内容,只需重发合法的消息即可造成安全威胁。重放攻击的潜在危害包括:未授权的交易执行、非法获取资源、数据泄露以及系统篡改等。随着网络系统的日益复杂,重放攻击仍然是一个常见的威胁,尤其是在不具备防御机制的旧协议或自定义通信方案中。使用缓存减少存储开销。利用异步处理避免阻塞主线程。
选择网络安全模式启动Windows系统,解决PC无法连接网络问题
最新发布
dvlinker的技术专栏
10-04 2378
选择网络安全模式启动Windows系统,解决PC无法连接网络问题。
Web安全 - 服务端请求伪造SSRF(Server-Side Request Forgery)
小工匠
09-29 1720
SSRF攻击的本质是利用服务器作为代理,发送请求到攻击者指定的目标(如内部网络资源、外部服务等),从而绕过客户端的防火墙、访问控制或认证机制。例如,代理在处理本地IP请求时,触发安全告警。若代理未能正确过滤和验证请求内容,攻击者可能通过代理访问不受控制的资源,或借助代理规避安全限制。:某些Web应用将对外服务作为身份验证的依赖(例如OAuth),SSRF攻击可以伪造服务器请求,以获取未授权的访问。:对所有代理请求使用安全令牌或密钥验证,并模拟攻击者尝试绕过验证过程,确保代理可以识别并阻止非法请求。
【网络安全】内部应用中的多重漏洞利用
等风来
09-30 246
在最近的一次渗透测试中,我对一个仅供员工使用的内部应用程序进行了评估,重点关注身份验证和帐户管理功能。该应用程序允许用户通过电子邮件地址注册并验证帐户。
Web安全 - 安全防御工具和体系构建
小工匠
10-03 1186
最终,设计一个适合公司的安全体系,既是对安全人员技术能力的考验,也是对其与业务发展需求契合度的挑战。安全防御工具只是辅助,最终的效果取决于如何选择和实施它们。
【网络安全】绕过 Etplorer 管理面板实现RCE
等风来
09-30 756
该面板以树状结构显示了目录中的子目录和文件。由于我们能够访问站点的源代码,因此可以对各个端点进行进一步分析,挖掘潜在的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值