Wed渗透
wed渗透是一种网络测试安全的方法,它模拟黑客的攻击手段和思维。
Wed渗透流程
- 对网站进行信息收集
- 扫描网站端口和漏洞
- 验证漏洞
- 利用漏洞
- 清理痕迹
- 对网页的信息收集可以用站长之家
- 扫描端口和漏洞可以用Nmap
- 使用Nmap脚本来扫描和利用WED的漏洞。Nmap是一个强大的网络扫描工具,它也提供了一些针对WED的脚本,可以手动检测和利用WED的漏洞
4.攻击手段 多种是多种多样的 可以用xss脚本进行攻击 xss攻击主要有三种类型
1.反射性 恶意脚本来自于用户的请求 通过 url 参数或表单输入,服务器将这些请求原样返回的网页中,浏览器会执行这些脚本
反射性 它是非持久性,参数型的跨站脚本
- 储存型 恶意脚本来自数据库,例如用户留言,个人资料服务器从数据库读取到数据嵌入到网页,浏览器执行脚本
- 储存可以把脚本写进数据库数据库可以永久保存,危害大
- Dom型 恶意脚本来自于客户端的代码 如HTML,js 不经过服务器的处理
- Xss 可以挂木马 盗取用户信息 篡改数据
5.清理痕迹
- wed清理痕迹主要删除windows系统中的日志,历史,缓存
- 删除Windows事件查看器中的应用程序日志、系统日志、安全日志等。可以使用wevtutil命令或meterpreter的clearev命令来清除日志。
最好还是使用一些隐蔽和保护隐私的方法,例如使用跳板、代理、VPN、Tor等方式来隐藏自己的真实身份和位置。