网络安全CTF系列培训教程之Web篇-信息收集

于 2024-06-21 10:35:52 发布
阅读量465 收藏 9
点赞数 3
文章标签: web安全 安全 网络安全 系统安全 计算机网络 安全威胁分析 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctfayang/article/details/139853543
版权

1 什么是信息泄露漏洞

        信息泄露漏洞一般是由于 web 服务器没有正确处理一些特殊请求或者系统管理员对于应用设置及操作不规范,泄露服务器或者应用的敏感信息,如用户名、密码、源代码、服务器信息、配置信息、物理路径信息等。该类信息的泄露容易造成恶意人员的利用,为达到进一步的攻击系统打下基础。

2 信息泄露的危害  

2.1 数据库信息泄露

           可以泄露数据库类型信息,甚至是数据库的账号密码,降低攻击者的攻击成本……

2.2 网站配置信息泄露

          可能会暴露服务器信息,网站限制条件……

2.3 网站目录结构信息泄露

          可能会被攻击者发现敏感文件,如后台路径,文件保存路径等等......

3 常见的信息泄露  

CTF比赛中常见的信息泄露主要有:

.hg源码泄露

.git源码泄露

.DS_Store文件泄露

网站备份压缩文件

SVN导致文件泄露

WEB-INF/web.xml泄露

CVS泄露

4 信息泄露漏洞的发现与利用  

4.1 配置测试信息泄露漏洞

        网站常见的配置测试文件如web.config、web.xml、conn.php、phpinfo.php、robots.txt等等。一般它们都是用来存储及显示服务器及应用程序的配置信息,提供应用程序权限及功能。

       我们可以通过御剑或者dirsearch等扫描软件对网站进行扫描,例如右图,我们通过御剑软件扫描某网站,发现存在phpinfo.php配置信息文件,robots.txt爬虫文件。右图是我们通过御剑扫描到的信息泄露的文件。

4.2 源码文件、数据库信息泄露

        源码文件、数据库信息泄露是由于网站对源代码及数据库文件信息保存不当,例如我们通过软件御剑,图中可以表示出来我们扫描到某网站的源码备份压缩包,wwwroot.rar这是网站的一个压缩包文件,大家可以在图中标红的地方可以看到我们扫描到网站源码的备份文件。

5 信息收集实操演示 

        接下来给大家进行实操演示,演示一下CTF比赛中如何使用信息收集工具收集信息泄露漏洞。本人专门录制了实操视频上传至b站,链接如下:

【03-网络安全CTF系列培训教程之Web篇-信息收集dirsearch渗透扫描网站】 https://www.bilibili.com/video/BV1ww411T7zB/?share_source=copy_web&vd_source=c839b2f9e57254de01e09f145c3192eb

6 CTF报班培训

ctfayang
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
啥是CTF?新手如何入门CTF
weixin_68789096的博客
06-18 5411
新手入门的话,在靶场慢慢刷题,对于不会的题目直接百度或者谷歌,都会有很多解题报告,遇到不会的知识点也要善于使用搜索引擎。最好的方法还是加入一个 CTF 小组,大家互相帮助,提高得会更加快。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁😝朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,可以扫描下方二维码免费领取1️⃣零基础入门① 学习路线对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
网络安全培训-CTF之隐写
12-16
网络安全培训-CTF之隐写 网络安全培训-CTF之隐写是指在CTF(Capture The Flag)比赛中的一种隐写挑战,旨在培养参与者的安全技能和思维能力。隐写是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的...
网络安全CTF系列培训教程Web-burpsuite爆破弱密码
2401_84253380的博客
04-29 538
最后,点击Start attack 按钮,开始爆破攻击,等待片刻后,点击Length,根据返回web返回数据包字节长度进行排序,因为登录成功与登录不成功的web返回数据包字节长度肯定不一样,排序不同的那个即为爆破成功的密码。点击Payloads按钮,选择Payload set变量个数为1,Payload类型为Simple list,点击Load按钮加载爆破密码字典,我们选择的是自制的常用1000个弱密码字典,需要密码字典的可添加文章末尾的微信号免费领取字典。线、讲解视频,并且后续会持续更新**
CTF是什么?一文带你读懂网络安全大赛
Python栈
06-24 7533
随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。
CTF简介
最新发布
Karka_的博客
06-10 1019
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。CTF竞赛模式具体分为以下三类:解题模式-Jeopardy-可通过互联网或现场网络参与,解决网络安全技术挑战题目,并以分值和时间排名。
网络安全CTF夺旗赛入门到入狱-入门介绍
喜欢Python编程的程序员柚柚呀
06-09 8252
网络安全CTF夺旗赛入门到入狱-入门介绍
什么是CTF?新手该如何入门CTF?
热门推荐
Z987421的博客
07-04 1万+
什么是CTF?新手该如何入门CTF?
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
CTF-字符串编码识别工具,网络安全CTF比赛的好帮手!
06-10
网络安全领域,特别是参与Capture The Flag (CTF)竞赛时,了解和掌握各种字符串编码识别工具至关重要。CTF比赛通常包含多种类型的问题,其中MISC(Miscellaneous)题型涉及广泛,包括密码学、逆向工程、取证分析等...
网络安全CTF比赛工具集(整合版)
01-04
涵盖在线工具以及其他好用的工具包, 在线工具:导航型站点,CTF大集合。 CTF工具包:包里有CTF相关的各种工具,包括逆向,解密,WEB,密码学等等,相当有用,可以方便地准备各种CTF比赛。
CTF —— 网络安全大赛
xnxqwzy的博客
09-24 6304
前言随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。‍ ‍ ‍ 网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛。
什么是CTF?打CTF的意义是什么?(附网络安全入门教程
weixin_55154866的博客
11-06 2894
CTF的意义对于大多数人来说都差不多,主要是提供一个接近真实环境的漏洞环境, 因为刚开始的时候水平不够很难接触到真实环境的漏洞,可以通过复现比赛环境、重新研究不懂的基础知识。 因为,CTF涵盖的领域非常广,是完全可以在好的CTF比赛中学习到很多之前没有接触过的知识和技巧,虽然其中会有很多是实际当中很少用到的小trick之类的,但还是可以锻炼自己的业务能力和实战能力,至少在基本功方面的能力提升还是非常显著的。说到对以后的帮助,CTF目前正在逐渐变得火热,安全公司多多少少会参考你之前在各大CTF中的战绩,但其
网络安全】一文章带你了解CTF那些事儿
程序边界
09-26 6076
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。CTF竞赛模式具体分为解题模式、攻防模式和混合模式。在解题模式下,参赛者需要通过互联网或现场网络参与解决网络安全技术挑战题目,以获取分数和时间排名;
CTF比赛是什么?需要学哪些东西,1文章给你讲透彻!
logic1001的博客
09-28 7709
CTF比赛必须知道的事情
ctf比赛的三种形式
qq_33881738的博客
03-10 1万+
竞赛模式编辑 CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense) 在...
CTF网络安全大赛是干什么的?发展史、赛制、赛程介绍,参赛需要学什么?
白帽子凯哥聊黑客
12-09 9236
CTF(Capture The Flag)是一种网络安全竞赛,它模拟了各种信息安全场景,旨在提升参与者的网络安全技能。CTF 赛事通常包含多种类型的挑战,如密码学、逆向工程、网络攻防、Web 安全、二进制利用等。 CTF 的概念最早源于军事领域,用于描述夺取敌方旗帜的行动。在网络安全领域,CTF 起源于 1990 年代中期,当时用于评估网络安全技能和提高安全意识。随着时间的发展,CTF 成为了网络安全领域内一个重要的竞赛活动,吸引了全球众多安全爱好者、专家和学生的参与。CTF 赛事通常分为以下几种类型:Je
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ctfayang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值