小迪安全第三天

最新推荐文章于 2024-05-09 21:07:40 发布
最新推荐文章于 2024-05-09 21:07:40 发布
阅读量22 收藏
点赞数
分类专栏: 小迪安全学习 文章标签: 安全 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akdelt/article/details/134452485
版权

web 拓展

WAF

在这里插入图片描述

原理:Web应用防火墙,旨在提供保护

影响:常规Web安全测试手段会受到拦截

演示:免费D盾防护软件

Windows2012 + IIS +D盾

CDN

在这里插入图片描述

原理:内容分发服务,旨在提高访问速度

影响:隐藏真实源IP,导致对目标测试错误。

如果各地 ip ping 同一个域名得到的 ip 都是一样的话就代表没有启动 CDN 服务

OSS

原理:云存储服务,旨在提高访问速度

原理:

为什么要使用第三方存储?

1)静态文件会占用大量带宽

2)加载速度

3)存储空间

影响:

上传的文件或解析的文件均来自于OSS资源,无法解析,单独存储

1、修复上传安全

2、文件解析不一样

3、但Accesskey隐患

反向代理

正代理为客户端服务,客户端主动建立代理访问目标(不代理不可达)

反向代理为服务端服务,服务端主动转发数据给可访问地址(不主动不可达)

原理:通过网络反向代理转发真实服务达到访问目的

影响:访问目标只是一个代理,非真实应用服务器

注意:正向代理和反向代理都是解决访问不可达的问题,但由于反向代理中多出一个可以重定向解析的功能操作,导致反代理出的站点指向和真实应用毫无关系!

比如宝塔面板设置反向代理,ip/a 反向代理到灰色产业网站

负载均衡

原理:分摊到多个操作单元上进行执行,共同完成工作任务

影响:有多个服务器加载服务,测试过程中存在多个目标情况

其实就是容灾备份,万一因为自然灾害导致服务器崩坏可以启动另一台。

她送的苦茶子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
小迪第九期渗透培训
11-19
小迪第九期渗透培训 里面有惊喜干货!实战渗透
2020小迪安全第三天笔记-搭建安全拓展
weixin_51566416的博客
12-02 993
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili 通过IIS(提供网站服务)搭建网站 首先打开windows2003虚拟机,进入IIS管理 开启“Active Server Pages”开启ASP 支持的脚本组件 Ip地址配置 “主机头值”表域名 但是这个域名并没有进行申请,只是用于测试,所以平时解析会解析到外网上。 要用讲域名指向本地地址,可在本地“host”文件上进行修改 注意:域
B站小迪安全笔记第三天-搭建安全拓展
m0_61530426的博客
07-09 513
B站小迪安全笔记
小迪安全2023第一天笔记
m0_62599213的博客
02-21 539
2023第一节课学习笔记
小迪安全》第4天 Web源码扩展
m0_56250796的博客
03-31 385
WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。如:获取某ASP源码后可以以默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等。总之,源码的获取将为后期的安全测试提供了更多的思路。关于WEB源码目录结构关于WEB源码脚本类型关于WEB源码应用分类关于WEB源码其他说明拿到源码必须可以从中获取目录结构便于了解架构;不同脚本语言/框架,数据库存储不一样、涉及到的安全漏洞也不一样;
小迪安全第37天】反序列化
weixin_54252904的博客
06-20 564
PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 演示一把 上代码 改代码中接受以get方式传过来的str参数的值,并且如果该值经过反序列化之后的值如果等于$key(xiaodi)时就输出flag 因此我
2020小迪安全第六天笔记-加密算法
weixin_51566416的博客
12-04 4605
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 由于本人之前已经学习过了应用密码学的相关内容以及进行过与加密算法相关的大创项目,并且网络上有大部分在线加解密工具,除了别人自定义的相关复杂加密算法外,一般只要花一定时间,数据就能得到一定的加密、解密,所以小迪本次培训的内容所做的笔记并不多,仅仅针对了个人注意细节。 SQL注入时,要按照网站设定的规矩进行注入,比如 该网址中的id=MQ== and 1=1&name=YW5
小迪网络安全第三天
qq_51248140的博客
08-26 69
域名访问指向绝对路径目录,IP访问指向上级目录 (结合类似备份文件目录)#ASP,PHP,ASPX,JSP,PY,JAVAWEB等。#IP或域名解析WEB源码目录对应下存在的安全问题。#脚本后缀对应解析(其他格式可相同-上传安全)#常见防护中的IP验证,域名验证等。#后门是否给予操作目录或文件权限。#后门是否给予其他用户权限。域名IP目录解析安全问题。常见文件后缀解析对应安全。常见安全测试中的安全防护。#WEB源码中的敏感文件。#后门是否给予执行权限。#存在下载或解析问题。基于中间件的安全漏洞。
小迪安全第十四天 案例演示
qq_46116117的博客
12-15 1535
参数字符型注入测试————sqllibs less 5 6 第五关 正常页面 测试注入点 加单引号报错,说明这里有注入点 并没有回显,这里要采用报错注入(后面的内容,这里就不说了) 第六关 正常页面 测试注入点 发现单引号并不会报错,尝试双引号 发生错误 同样,没有回显,要采用报错注入 第五关第六关为字符型注入,采用单引号或者双引号闭合语句 POST 数据提交注入测试————sqlilabs less 11 正常页面 抓包,发现数据提交方式为post提交 可以尝试修改post提交参数进行注入
小迪安全》第11天 Web漏洞知识点
m0_56250796的博客
04-09 356
本章节将讲解各种WEB层面上的漏洞类型、具体漏洞的危害等级。以简要测试进行实例分析,思维导图中的漏洞也是后面将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容。学习的目的:CTF, SRC, 红蓝对抗, 实战#简要说明以上漏洞危害情况#简要说明以上漏洞等级划分#简要说明以上漏洞重点内容#简要说明以上漏洞当前形势。
第70天:内网安全-域横向内网漫游Socks代理隧道技术1
08-03
1.内外网简单知识 2.内网 1 和内网 2 通信问题 3.正向反向协议通信连接问题 4.内网穿透代理隧道技术说明 2.测试:内网 1 执行后门-免费主机处理-
仪迪安全性能综合测试仪软件安装包.rar
09-04
安全性能综合测试仪软件使用说明软件使用说明1、本机自检在此界面中,你可以点击“开始”键,启动本机自检,将接线和仪表本身对测试结果造成影响的数值减去,保证测试结果的准确性。2、测试信息设定 1)、基本信息...
第六次作业-计算机安全&多媒体.doc
05-24
稍起杠畜婆办赘枯呸铱旗独诸荔阶充陵汁青佳涝仁苛盆者快滋癸慷夷给劈冀境桓彬玖第 六次作业- 计算机安全&多媒体寓镐折贿蔗负铁怒兔绪纪败胆拙骡刃赁频蛇桓吃嘴韦乔拾泥采彼自球 甥贩层学烤猫吃谚卤要米式幅立全功橙...
2019_2020学年高中语文第三单元9山中与裴秀才迪书课件粤教版选修唐宋散文蚜202004302147
09-08
2019_2020学年高中语文第三单元9山中与裴秀才迪书课件粤教版选修唐宋散文蚜202004302147
【联通官网及APP注册/登录安全分析报告】
weixin_46641057的博客
05-09 290
联通作为通信行业的老大哥, 采用的老一代的图形验证码已经落伍了, 用户体验差,还容易被破解App 端虽然采用了360加固, 但懂技术的都知道, 客户端无论如何都有可能被逆向,靠加固是否无法保证安全的,脱壳后的算法就如同皇帝的新装,暴露在黑客面前。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。
Burp Suite 抓包,浏览器提示有软件正在阻止Firefox安全地连接到此网站
最新发布
2302_77302329的博客
05-09 204
H01-启动和激活Burp.docx》——第5步。没有安装证书,在浏览器里面安装bp的证书就可以了。有软件正在阻止Firefox安全地连接到此网站。
<网络安全>《81 微课堂<安全产品微简介(1)>》
Else 的博客
05-09 179
产品 简要 防火墙 网络区域边界上部署,主要作用是隔离阻断。 安全审计 一般包括网络日志的分析、网络流量的监控和用户行为的跟踪等。发现网络中的潜在问题和漏洞。 入侵检测IDS 实时监控和检测网络中的异常活动和入侵行为。 入侵防御IPS 防病毒软件、防火墙的补充,一般结合IDS使用。可以阻断网络资料传输。 网关 网络互连设备。网间数据传递和转换。可以包含VPN、流控、上网行为审计等。 靶场 虚拟化技术,模拟真实的网络架构、系统设备、业务流程,实现学习、研究、竞赛、演习。
网络安全实训Day16
Yisitelz的博客
04-26 2393
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
小迪安全 vpc项目实战
01-08
小迪安全是一家网络安全公司,致力于提供云安全解决方案。其中,VPC(Virtual Private Cloud)项目是他们的一项实战项目。 VPC项目旨在帮助客户构建安全可靠的云基础架构。VPC提供了一种虚拟化的网络环境,客户可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值