新手必学的的web渗透测试查找漏洞(一)

最新推荐文章于 2024-05-08 09:15:00 发布
最新推荐文章于 2024-05-08 09:15:00 发布
阅读量1.3k 收藏 7
点赞数 1
文章标签: awvs 渗透测试 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/broing55/article/details/107556780
版权

拿到url时,只有登陆界面,我们可以做以下内容(皆是点到为止):

1.弱密码登录

       尝试admin,123456这些弱密码口令,如果可以登陆进去,就获得了权限。

2.万能密码

3.burp抓包神器

     可以查找到明文传输漏洞。

4.御剑扫描后台

   直接输入url既可扫描

5.awvs扫描器直接扫除漏洞复现

   通过扫描出的漏洞并进行相关url的验证

6.用户名枚举

    用户名枚举可以查看有哪些用户储存在该服务器中。

broing55
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一篇文章教你如何找出找回密码漏洞。(新手推荐)
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 318
第一种,修改标志位返回标志位进行找回任意用户的密码。 1.在一些网站上我们注册一个账号,然后我们点击找回密码这个功能。 2.然后输入一个真实的验证码进行找回密码。再点击下一步的时候打开拦截包的功能。并点击下一步后把数据包发送到repeater 这个功能上, 3.然后我们看我我们发包后返回的一个显示情况。这时候我们能看到我们发送正确,可以看到返回包的status(状态)的参数,为1, 4.然后我们再修改验证码后再发送一次,这时我们可以看到我们的返回包的status(状态)的参数,为-1,所以我们考
如何寻找WEB程序漏洞,及如何利用和防范
Aspstudy与你一起学习ASP ......
01-11 3997
网络安全是一个非常流行的话题,不论是这方面的专家还是一个普通人,都或多或少涉及其中。在此环境下,入侵也变得前所未有的活跃。每个人都想成为这领域的高手。入侵分几个方面,现在以SQL注入和溢出最为流行。我在此浅谈一下SQL注入的相关问题。  其实SQL注入和溢出有异曲同工之妙,都是利用不按正常思维来达到入侵的目的。简单的说就是程序作者想得没有入侵者想得全面,不乏有些作者水平很高,但想投机取巧。SQL注
渗透测试漏洞探测
qq_29864185的博客
07-01 1917
漏洞探测 当我们收集到了足够多的信息之后,我们就要开始对网站进行漏洞探测了。探测网站是否存在一些常见的Web漏洞,比如: SQL注入, 传送门——>SQL注入详解 XSS跨站脚本,传送门——>XSS(跨站脚本)漏洞详解 CSRF跨站请求伪造,传送门——>CSRF跨站请求伪造攻击 XXE漏洞,传送门——>XXE(XML外部实体注入)漏洞 SSRF服务端请求伪造漏洞,传送门——>SSRF(服务端请求伪造)漏洞 文件包含漏洞,传送门——>文件包...
Web渗透各种漏洞原理
最新发布
weixin_51725318的博客
05-08 544
Web渗透各种漏洞原理
如何查找APP漏洞渗透测试 解决网站被黑客攻击
网站安全专家
02-04 4658
APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持,防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况,我们立即成立了SINE安全移动端APP应...
Web漏洞搜索引擎——PunkSPIDER
SAKAISON的博客
09-21 2769
至今还没有搜到数据不是0的网站【咸鱼脸】 PunkSPIDER是一款针对web应用程序的全球可用的Web漏洞搜索引擎。它的目标是让用户通过网络搜索,轻松而直观地确定漏洞。请负责地使用punkspider。 简单来说,这意味着作者已经创建了一个安全扫描程序和所需的架构,可以同时执行大量的Web应用程序的漏洞扫描。此工具,或者说是军火库,制造出一个可以处理成千上
web渗透测试靶机(新手
05-07
Web渗透测试靶机是针对新手入门的网络安全习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞Web应用,让习者通过查找和利用...
WEB渗透习-upload-labs靶场
04-20
在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础到高级,帮助新手逐步提升对这类漏洞的...
【批量下载】Web渗透测试等.zip
12-15
kali的web测试渗透篇,讲解详细,适合初者 kali的web测试渗透篇,讲解详细,适合初
WEB渗透习-XSS-labs靶场
04-20
XSS-labs是一个专门针对XSS的习平台,为网络安全从业者和新手提供了丰富的练习场景,帮助他们深入理解和掌握这种攻击手段。 XSS-labs设计了一套关卡制的习路径,由浅入深,逐步提高难度。每个关卡都代表一种或...
测试新手习宝典.zip
08-27
1. **测试类型**:主要分为功能测试(验证软件是否按照需求规格说明书工作)、性能测试(评估软件在不同负载下的表现)、兼容性测试(检查软件在不同环境下的运行情况)、安全测试查找潜在的安全漏洞)等。...
如何寻找XSS漏洞
06-10
1. 传统的跨站脚本攻击(XSS) 2. 跨平台客户端的安全隐患
御剑目录扫描
07-27
御剑1.5,不仅仅局限于后台扫描,还有敏感目录的扫描,功能相当之强大
渗透测试项目中漏洞挖掘方法
broing55的博客
03-06 2751
一般针对WEB应用来讲常用的工具主要分三类: 1.抓包bp 2.目录扫描wvs,sqlmap 3.漏洞扫描 低危漏洞: 1.基于HTTP的传输请求。 可以通过查看网站是否可以通过http协议来进行访问,部分网站虽然使用了https但是也依然允许使用Http来访问。但是不排除使用https协议后会存在一些SSL加密漏洞的问题,同样也需要注意。数据安全传输是数据保护的最外围措施,理应受到...
常见web安全漏洞
coderMonkey的博客
06-30 6923
一、暴力破解 1、概述 ​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致
渗透测试笔记】之【SQL手动漏洞挖掘】
AA8j的博客
07-19 384
判断是否存在SQL注入漏洞 假如网址为http://www.xxx.com/1.php?id=1 基于报错检测 http://www.xxx.com/1.php?id=1' http://www.xxx.com/1.php?id=1" http://www.xxx.com/1.php?id=1% http://www.xxx.com/1.php?id=1( http://www.xxx.com/1.php?id=1) 基于布尔检测 http://www.xxx.com/1.php?id=1' an
零基础如何挖掘漏洞
Spontaneous_0的博客
03-11 353
零基础如何挖掘漏洞
APP和小程序漏洞查找的方法
sineblog的专栏
04-07 5200
目前小程序和APP安全这一块如何去做这个漏洞挖掘,然后漏洞挖掘的这么一个大概的思路是怎么样的,咱们接下来要讲的这个方法其实是通过抓包,包括说这个解包apk包,这一系列的方法去把它的这个 API或者说把它的数据包这个流量给获取到,然后通过这个层面就是流量层网络层来进行漏洞挖掘,因为你通过流量层和网络层进行漏洞挖掘的时候,你挖掘漏洞的方法就可以跟web安全里头的很多手法是一样的了,就可以减轻大家的难度,让大家更好的去挖掘这个安卓或者是苹果IOS系统或者小程序的这些漏洞。 但是这个肯定不是说所有的这个.
常规36个WEB渗透测试漏洞描述及修复方法----很详细
热门推荐
爱上卿的博客
08-28 1万+
  常规WEB渗透测试漏洞描述及修复                                                                              --转自:http://www.51testing.com/html/92/n-3723692.html   (1)、 Apache样例文件泄漏   漏洞描述   apache一些样例文件没有删除...
新手指南:手把手教你如何搭建自己的渗透测试环境1
08-08
1、现在并安装XAMPP https://www.apachefriends.org/download.html ,对于Windows XP,可以在这里 htt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值