- 博客(6)
- 收藏
- 关注
RSS订阅原创 渗透测试 1【信息收集分析】
今天来讲讲渗透测试最首先做的事情 信息收集 如何进行信息收集呢。 1、子域名收集 2、邮箱收集 3、手机号码收集 4、微信、qq、各种在线商城 5、文档(word、ppt、xls、pdf等)收集 6、dns收集 7、web收集 8、wifi收集 等等。以上信息就是我经常收集的信息。具体用什么去收集,大家都有工具。kali,hacking-lab以及网上公开的很多工具等系统都可以
2017-02-27 22:41:46
462
原创 渗透测试 2【综合扫描分析】
对于上一篇<渗透测试前奏1>中,我们会获得很多信息,譬如 域名、ip段等你认为很有用的信息,那么有了这些后我们下一步怎么做呢。 首先我们得考虑,你是想找漏洞干嘛,如果是安全运维人员和专业渗透人员或者黑客的做法都是不一样的, 1 、安全运维人员,收集资产后会进行量化的测试,发现漏洞即可,不需要深入扩展战果,马上通知并且修复。这样的话,就可以做常规的扫描测试下就行。其他可以不多加考虑。 2、专业渗
2017-02-27 22:40:31
470
原创 渗透测试 3 基本扩展
在测试中,我们获取到一定的信息会继续进一步的获取更有价值的信息。 这篇是随谈,打发无聊时间。 有时候 我们会遇到一些不常见的公开系统,下载一个 rar包?gz包?,那么我们得分析具体的代码。 按照笔者的思路走,那你会走弯了。? 常见 就是 asp、aspx、php、jsp、python、ruby作为站点的语言,服务器常见的及时 iis、apache、tomcat、websphere、web
2017-02-27 22:38:15
267
原创 渗透测试中几个小的工具
笔者在进行测试的时候 ,会用到一些辅助工具,特地在git上分享下一些思路和工具,帮助大家去更好的完成一场渗透测试,大家有兴趣可以关注我,会不定期的进行更新 git地址:https://github.com/rassec 那么就简单的介绍下几个工具 RASScan 是一款内网端口扫描工具,可以扫描常规的端口,迅速得到一些信息 name_interface
2017-02-27 22:36:20
434
原创 浅谈微软认证Outlook Web Access钓鱼(Outlook Web Access Phishing)
安全人员在进行安全测试的时候,会对一个企业进行整体评估,当然测试的项目很多,需要历时数日再可见到效果,其中一项很重要的环节就是钓鱼,很多测试人员只是知道有这个名词,却不会去用这项技能,很遗憾的一件事情,那么这次我们就讲解一下如何一步一步的进行钓鱼活动。环境可以是你抓到的肉鸡或者申请域名指向空间。技术手段就是如下几步: 1、用工具HTTrack Website Copier 克隆一个网站。
2017-02-27 22:29:36
1720
原创 简单了解下DDOS产业
为了更清楚的解释,阅读了很多这样的文章,DDOS的百度百科解释如下:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序
2017-02-27 16:29:11
490
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人