![](https://img-blog.csdnimg.cn/20210813173457944.jpg?x-oss-process=image/resize,m_fixed,h_224,w_224)
Web安全
文章平均质量分 67
WEB安全学习笔记
Yicsr
要做咸鱼里,最能扑腾的那一条。
展开
-
WEB安全_信息收集_CDN绕过技术 (DNS历史记录、邮件服务查询、遗留文件、引擎)
目录CDN介绍如何判断目标存在CDN1.利用多节点技术进行请求返回判断2.Windows命令查询:nslookup,若目标存在多个IP的话,就很有可能有CDN服务目前常见的CDN绕过技术有哪些1.子域名查询2.邮件服务查询3.国外地址查询CDN介绍CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应原创 2021-09-02 15:09:52 · 725 阅读 · 0 评论 -
WEB安全_基础入门_加密编码算法,加密方式、加密算法特性、算法解析
目录前言一、常见加密编码等算法解析MD5SHA进制时间戳URLBASE64unescapeAESDES二、常见加密形式算法解析三、常见加密方式四、常规加密算法的特性演示一、某个CTF比赛题目涉及资源前言在渗透测试中,一些敏感信息比如密码会采用加密处理,我们必须要了解常见的加密方式,才能为安全测试做准备。一、常见加密编码等算法解析MD5下面是supersoft软件0-9,a-z组合MD5很常见的加密,不能逆向的破解。虽然也可以解密。SHA这个SHA长度不一样,后面数字越大,密文长原创 2021-08-16 11:03:27 · 1037 阅读 · 0 评论 -
WEB安全_基础入门_系统及数据库,明确安全测试思路(演示只需要熟悉流程)
目录前言一、操作系统层面前言知识点1.识别操作系统的常见方法方式二:TTL![在这里插入图片描述](https://img-blog.csdnimg.cn/f374764704ea4486afde2a3da49bea22.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2VyZmFuX2xhbmc=,size_16,color_FFFFFF,t_70)原创 2021-08-13 17:27:14 · 2000 阅读 · 7 评论 -
使用nmap 验证多种漏洞
Nmap用于在远程机器上探测网络,执行安全扫描,网络审计和搜寻开放端口。它会扫描远程在线主机,该主机的操作系统,包过滤器和开放的端口。Kali-linux:nmap命令Nmap操作系统的探测使用nmap 验证多种漏洞使用nmap 进行验证多种常见漏洞,使用一组nmap脚本进行基线检查,使用新建和使用一个nmap 的脚本,帮助读者自己独立使用NSE。...原创 2021-08-13 17:12:48 · 350 阅读 · 0 评论 -
Metasploit(MSF)的使用 对计算机软件漏洞实施攻击
MSF的使用教程原创 2021-08-13 14:13:21 · 198 阅读 · 0 评论 -
渗透测试 MSF Meterpreter Payload
【渗透测试笔记】之【MSF Meterpreter Payload】【Metasploit总结】之【payload】通常在传输数据时,为了使数据传输更可靠,要把原始数据分批传输,并且在每一批数据的头和尾都加上一定的辅助信息,比如数据量的大小、校验位等,这样就相当于给已经分批的原始数据加一些外套,这些外套起标示作用,使得原始数据不易丢失,一批数据加上“外套”就形成了传输通道的基本传输单元,叫做数据帧或数据包,而其中的原始数据就是payload。...原创 2021-08-13 13:54:30 · 209 阅读 · 0 评论 -
WEB安全_基础入门_WEB源码拓展 通过哪些方式去发现漏洞
目录web源码拓展前言关于Web源码目录结构演示一 目录结构分析关于Web源码脚本类型关于Web源码应用分类总结演示二、ASP、PHP等源码下安全测试CMS指纹识别字典演示三、源码应用分类下的针对漏洞流程漏洞演示四、简要目标从识别到源码获取(知识点最多)1.本地演示个人博客-手工发现其 CMS-漏洞搜索或下载分析示例1示例22.http://weipan.1016sangshen.cn/ 内部搭建的靶场3.人工爆框架-搜索特定 url-获取其他相符站点-漏洞测试4.借助特定行业源码或咸鱼进行搜索获取-本地搭原创 2021-08-12 19:17:07 · 462 阅读 · 1 评论 -
APP提取web 反编译抓包
写目录1.APP提取web2.反编译抓包1.APP提取web2.反编译抓包扩展演示这样子是不可以的这些参数都写进来了,就按照这些进行访问,可以正常看见了,就能做正确的选择,进行漏洞扫描,正确访问。...原创 2021-08-12 15:38:12 · 373 阅读 · 0 评论 -
vulhub靶场的搭建 容器镜像服务ACR
vulhub靶场的搭建下载Vulhub官网:链接安装官方推荐用Ubuntu来安装安装常用软件apt是Ubuntu的一个更新源apt-get update:更新软件列表apt-get install:安装命令apt-get install ssh:安装ssh服务apt-get install vim:安装vim编辑器开启SSH服务(查看状态已经开启过了)curl安装命令:sudo apt-get install curl安装Docker命令:curl -s https://ge原创 2021-08-12 14:39:21 · 430 阅读 · 0 评论 -
fatal: unable to access ‘https://github.com/vulhub/vulhub.git/‘: Failed to connect to github.com por
将命令中的 https改为 git原创 2021-08-11 12:13:45 · 1866 阅读 · 2 评论 -
WEB安全_基础入门_搭建安全拓展 常见搭建平台(中间件)脚本启用
目录常见搭建平台(中间件)脚本启用一、常见搭建平台脚本启用二、域名IP目录解析安全问题三、常见文件后缀解析对应安全四、常见安全测试中的安全防护1.网和企业内网会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。2.身份验证和访问控制,基于用户的限制3.限制IP地址的访问,授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问五、WEB源码中敏感文件后台路径配置文件备份文件六、web后门与用户及文件权限七、基于中间件的简要识别八、基于中间件的安全漏洞常见搭建平台(中间件)脚本启用原创 2021-08-11 11:55:01 · 659 阅读 · 0 评论 -
WEB安全_基础入门_数据包拓展,安装Burp Suite,练习来源页伪造、浏览器信息伪造、HTTP动作练习、投票系统程序设计缺陷分析
数据包拓展一、网站解析对应1.简要网站搭建过程:教学地址2.涉及到的攻击层面?源码,搭建平台,系统,网络层等3.涉及到的安全问题?目录,敏感文件,弱口令,IP以及域名HTTP/S数据包#Request 请求数据包#Proxy 代理服务器#Response 返回数据包二、关于HTTP和HTTPS1.HTTP和HTTPS的区别https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协原创 2021-08-09 11:58:20 · 755 阅读 · 0 评论 -
Windows10下电脑中有多个jdk,BurpSuite安装,打不开jar文件,显示java安装失败
目录前言问题解决方式一:解决方式二:总结!!安装前言首先我要说我的电脑上有多个jdk,而且不止两个,并且我的环境变量配置也正确,通过cmd java -version 也可以看到信息。但是打开BurpSuite 的burp-loader-keygen.jar,依旧打不开。目标版本:1.8(干扰版本13)问题右击,打开选择Java(TM)Platform SE binary这种方式打开,也显示无法安装java。解决方式一:在Windows开始菜单的搜索框中输入“regedit”,在上方搜索原创 2021-08-09 16:04:06 · 2689 阅读 · 1 评论