web渗透思路

最新推荐文章于 2023-03-16 14:00:00 发布
最新推荐文章于 2023-03-16 14:00:00 发布
阅读量796 收藏 2
点赞数 1
分类专栏: 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen1152/article/details/51035181
版权

一.信息收集


一,先看操作系统《Linux分大小写,》方法(组合,工具,ttl值)

二,看是什么服务器若是web看第三点

三,网站组合

      1,搭建平台(Apache,iis等){百度漏洞}

              方法(工具,第三方平台)

       2,数据库

              方法(组合,网站大小)

       3,脚步

四,看网站源码

                  1,自主开发

                 2,开源(baidu)



ps:常见搭建组合

         asp access,mssql
         php mysql
          aspx mssql oracle
          jsp oracle mssql




               iis6.0 windows2003
              iis7.0 7.5 windows2008
               apache windows linux


二.漏洞测试



http://www.2cto.com/Article/201212/174427.html   http://www.jb51.net/hack/64140.htm

Htecne
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透思路及总结
qq_53058639的博客
03-19 1983
1,网上许多的系统可以直接Telnet到目标,大多会返回欢迎信息的,返回的信息包 含了该端口所对应的服务软件的版本号,这个对于寻找这个版本的软件的漏洞很重 要,如果对方开了Telnet,那么可以直接得到对方的系统类型和版本号,这个对于 挖掘系统的漏洞很重要(对于溢出来说,不同版本的系统和语言版本的系统来说, RET地址,JMP ESP,地址是不同的)。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。
Web渗透测试-实战 方法 思路 总结
aming小老弟
01-29 5569
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
Web 渗透测试思路总结
热门推荐
Aka1Sz
10-13 2万+
1.无论什么站,无论什么语言,我要渗透,第一件事就是扫目录,最好一下扫出个上传点,直接上传shell,诸位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多!   2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就猜数据,从后台下手了,后台可以上传或者
web渗透思路
weixin_35755640的博客
12-16 218
Web 渗透测试是一种安全测试方法,旨在识别和利用 Web 应用程序的漏洞来攻击网络。它的目的是确保 Web 应用程序在运行时不会受到未授权的访问或攻击。 Web 渗透测试的基本步骤如下: 识别目标:首先,你需要确定你要测试的 Web 应用程序或网站。 收集信息:其次,你需要收集尽可能多的信息有关目标,这可以帮助你了解目标的工作原理和构造。 扫描:在进行渗透测试之前,你应该使用扫描工具来搜索...
网站渗透思路
bluemoon_0的博客
03-16 457
网站渗透思路
计算机病毒与防护:WEB渗透基本思路.ppt
06-10
* * * * * * * * * * * * * WEB渗透基本思路 WEB应用渗透最常见的目标就是通过webshell控制服务器,这个过程通常被称为Getshell。 下面是一种较简单和常见的Getshell过程。 WEB应用渗透的基本思路 渗透文章管理系统...
网站渗透思路总结
03-22
网络安全渗透思路
05-22
网络安全渗透思路 网络安全渗透思路是指网络安全专业人员通过各种手段和技术来测试和评估网络系统的安全性,识别潜在的安全风险和漏洞,并提出相应的安全加固措施。本文将详细介绍网络安全渗透思路思路和步骤,...
web渗透测试技巧(上)
10-12
最近的非常全面的web渗透测试技巧,网络攻防教程
pikachu靶场,可用于web渗透练习
05-19
《Pikachu靶场:Web渗透技术的实践演练场》 在网络安全领域,尤其是Web安全方面,实战训练是提升技能的关键。"Pikachu靶场"是一个专为Web渗透测试设计的平台,它为初学者和专业人士提供了一个安全的环境,可以在...
目前web渗透思路
JSMaster01的博客
08-13 4867
学习web渗透大概已经有了两个多月了,还是一只菜鸡,希望能以文章的方式记录一下自己的学习过程,希望自己能够有所提高。 渗透思路如下: 0x01信息收集: 目前实战过了两次,越来越能意识到信息收集对渗透测试工作的重要性,web渗透不是仅仅局限于用公开漏洞的EXP直接打过去,还有很多“野路子”可以使用。 ①nmap扫描开放端口,常用端口如下: 21——-FTP服务 22——-SSH 23...
web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 6902
【渗透思路】框架敏感信息泄露
web渗透】专栏文章汇总
武天旭的博客
02-28 1206
一、基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6–Google Hacking 二、渗透测试部分 web渗透–7–web服务器指纹识别 web渗透–8–枚举web服务器应用
Web渗透测试---Web TOP 10 漏洞
weixin_56319791的博客
10-27 5584
Web渗透测试---Web Top 10 漏洞
渗透测试-----6-web渗透
weixin_62693307的博客
01-17 90
Set- Cookie:服务器发给客户端的SESSIONID(被盗取的风险)300s:重定向,通常在身份认证成功后重定向到一个安全页面(301/302)Location:重定向用户到另一个页面,可识别身份认证后允许访问的页面。Cookie:客户端发挥给服务器证明用户状态的信息(头和值成对出现)服务器响应的状态码表示响应的结果类型(5大类50多个具体响应码)100s:服务器响应的信息,通常表示服务器还有后续处理,很少出现。200s:请求被服务器成功接收并处理后返回的响应结果。401:想要身份验证。
Web安全攻防渗透测试
m0_63223219的博客
04-05 6860
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
四台服务器分别部署组件内容.md
最新发布
07-24
四台服务器分别部署组件内容.md
web站点渗透测试思路
04-28
Web站点渗透测试思路一般包括以下几个步骤: 1.信息收集:收集目标站点的信息,包括IP地址、域名、服务器类型、开放端口等。 2.漏洞扫描:使用扫描工具对目标站点进行漏洞扫描,寻找可能存在的漏洞。 3.漏洞利用:将扫描到的漏洞进行利用,获取站点的敏感信息或者控制站点。 4.提权:获取站点管理员权限,进一步深入站点的内部。 5.维持权限:在站点中留下后门或者其他手段,以便后续再次进入站点。 6.清理痕迹:在完成渗透攻击之后,尽可能地清理痕迹,避免被发现。 需要注意的是,进行渗透测试需要遵守相关法律法规,且需要获得站点所有者的授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值