<小迪安全>09-10-信息收集

于 2023-03-08 10:49:02 发布
阅读量75 收藏
点赞数
分类专栏: 安全入门 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerXxxt/article/details/129391530
版权

APP及其他资产

1.APP

#APP提取一键反编译提取

#APP抓数据包进行工具配合

使用apk数据提取可以得到关于app的相关url

建议配合使用抓包工具(burpsuite),在HTTP history分析数据包

#各种第三方应用相关探针技术

#各种服务接口信息相关探针技术

扫描--端口,接口,接口部分

一:nmap -sV IP地址

二:https://www.shodan.io/

        https://fofa.info/

        https://www.zoomeye.org/

 2.实战操作

        从网站本身看是够存在web漏洞<功能越复杂,越有可能有漏洞>

        子域名查询--黑暗引擎找到IP地址,关注IP地址所开放的端口<有可能存在漏洞eg:openSSH,数据库,ftp>

        搜索引擎--site:域名,找有可能漏的子域名和其IP;备案查询<涉及的IP地址>;

资产监控拓展

#github监控

        便于收集整理最新exp或poc--github申请账号,server酱<推送信息>

        wechat_push/wechat_push.py at master · weixiao9188/wechat_push · GitHub<py3环境>

        便于发现相关测试目标的资产

#黑暗引擎实现域名端口等收集

#全自动域名手机枚举优秀脚本

        GitHub - bit4woo/teemo: A Domain Name & Email Address Collection Tool

        layer子域名挖掘机

#SRC目标中的信息收集全覆盖

        

 资源

        https://crt.sh/

        https://dnsdb.io

        ,.https://www.dnsdb.io/zh-cn/

        https://tools.ipip.net/cdn.php

        https://securitytrails.com/domain/www.baidu.com/history/a

hackerXxxt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小迪安全12-sql注入
hackerXxxt的博客
03-09 86
--简要sql注入 1.思维导图 2.知识点 #SQL注入安全测试中危害--对数据库造成影响,危害网站权限 #注入点产生原理--可控变量,代入数据库查询,变量未存在或过滤不严谨 都有可能存在注入,第4个post提交,也有可能存在 下列2,3注入测试正确 ​​​​​​,x有注入写到x后面 3.信息收集 #如何判断注入点 老办法: and 1=1 页面正常 and 1=2
小迪安全08信息收集
hackerXxxt的博客
03-07 77
小迪安全学习笔记》
小迪安全系列笔记---08-10信息收集(信息搜集的详细总结,前十节课的总结)
weixin_51143604的博客
05-11 1921
XDSec—08-10信息收集 在写这篇博客之前,我一直在整理信息收集的一些方法论,但都感觉信息收集可为是一门玄学,内容大而广,收集的内容也可以多种多样,本文只是简单的总结一下小迪安全课程的知识点,以及本人整理的一些网上的信息收集方法;具体的信息收集方式,每个人都要有自己拿手的一套技术栈; 总之,渗透的本质是信息收集信息收集的内容全面与否,决定着攻击的成功与否. 【本文只提供信息收集的大致思路,对于工具的使用请自行了解,一些内容会后期补充】 文章目录XDSec---08-10信息收集一、确定目标二
小迪安全视频笔记--信息收集+sql注入
wcwdnmdnmd的博客
08-06 1068
这里写自定义目录标题 可利用403确定存在文件夹,404判断文件不存在 可通过burp插入xss IP扫描扫到www目录下,域名访问只访问到www/text/。ip访问能访问到更多的信息如网站备份。 对于iis策略配置为禁止修改但可访问的可通过菜刀连接后在别的目录操作来绕过。 web源码 重要目录:后台目录、模板目录、数据库目录、数据库配置文件。 脚本类型:asp、php、aspx、jsp、javaweb、python。(目的:不同脚本数据库存储不同,解释型和编译型脚本、不同语言易出现漏洞不同。) 应用分类
小迪安全学习笔记--第8/9/10天:信息收集合集
zr1213159840的博客
10-26 2447
课程链接 第七到十都是信息收集 信息收集 架构,搭建,WAF CDN有无为标准 首先关注的是源码信息:是否是开源的CMS。接着是对方的操作系统,搭建的平台,数据库的类型 接着是站点的搭建:目录站点,端口站点,子域名站点,旁站,C段,类似域名站点 最后是防护的应用:安全够,宝塔,云盾,安骑士等等 假如看到的是APP怎么办? 首先考虑的还是web角度,查找web相关的页面。如果不是web协议的,就需要使用一些工具去提取web页面。如果还是不行的话,就需要进行反编译和逆向了。 CMS识别技术 之前的课中已经有了
小迪安全系列笔记---04Web源码拓展
weixin_51143604的博客
05-07 705
XDSec—04Web源码拓展 一、关于Web源码的概述 要明确源码信息是非常重要的信息来源,可以用来做代码审计找0day或者逻辑漏洞,作为渗透测试的突破口;源码中往往包含了一些数据库的配置信息,如数据库的管理员账号密码等;建站的cms,一般可以做横向的信息收集 1.1、关于Web源码的目录结构 熟悉常见目录的存放的内容 如style目录下,一般存放css文件 images下存放图片文件 data、config、admin等目录往往是源码中较为重要的目录 1.2、Web源码类型 源码类型一般决定常
小迪安全|第10天:信息收集-资产监控拓展
欢迎相互探讨交流知识呀~
10-05 1139
笔记
小迪安全】Day7信息收集-CDN绕过
qq_44312640的博客
10-25 673
介绍了CDN绕过的基本方法
小迪安全|第08天:信息收集-架构,搭建,WAF等
欢迎相互探讨交流知识呀~
09-24 1063
笔记
第70天:内网安全-域横向内网漫游Socks代理隧道技术1
08-03
内网安全是信息技术领域中的一个重要话题,特别是在企业网络环境中,域横向内网漫游Socks代理隧道技术是一种解决内网间通信难题的有效方法。本文将详细介绍相关知识点,并通过实际案例来展示如何应用这些技术。 ...
小迪渗透课程大纲(1).zip
09-22
小迪渗透测试课程大纲主要涵盖了网络安全中的渗透测试技术,这是对系统安全性进行评估的重要方法。渗透测试,也称为“黑客攻击模拟”,旨在发现并修复网络、应用或系统的潜在漏洞,以防止恶意攻击者利用这些弱点。...
Liked-Saved-Image-Downloader:保存您喜欢的内容!
05-31
内容收集器 使用这个很棒的工具下载 图片 动图 图片相册 视频 注释 ...您已将其标记为“喜欢”、“热心”或“已保存” 红迪网 微博 Pixiv* 品趣* ……到磁盘! 然后您可以浏览结果。 * = 这些站点没有官方 API,...
思福迪LogBase LEC日志管理综合审计系统资料
09-13
思福迪LogBase LEC日志管理综合审计系统是一款专门设计用于日志管理和安全审计的解决方案,它帮助企业或组织高效地收集、存储、分析和利用大量日志数据。这款系统的核心功能包括日志采集、存储、查询、报表生成以及...
信息科技公司综合安全审计产品测试预案.pdf
07-05
该文档是北京中船信息科技有限公司与北京思福迪信息技术有限公司合作进行的一项综合安全审计产品测试预案,旨在确保所开发的安全审计产品能够满足客户需求,并具备高效、稳定的功能性能。预案于2011年03月04日制定,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8333
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
尚品汇项目思维导图 根据思维导图进行复习
07-13
尚品汇项目思维导图 根据思维导图进行复习
全网最热Python3入门+进阶 更快上手实际开发
07-13
网最热Python3入门+进阶 更快上手实际开发 第1章 Python入门导学.mp4 239.6MB 第9章 高级部分:面向对象 第8章 Python函数 第7章 包、模块、函数与变量作用域 第6章 分支、循环、条件与枚举 第5章 变量与运算符 第4章 Python中表示“组”的概念与定义 第3章 理解什么是写代码与Python的基本类型 第2章 Python环境安装 第1章 Python入门导学 第14章 Pythonic与Python杂记 第13章 实战:原生爬虫 第12章 函数式编程: 匿名函数、高阶函数、装饰器
Go:Go语言项目实战教程
最新发布
07-14
Go:Go语言项目实战教程
小迪安全笔记,详细版本
01-23
"小迪安全笔记,详细版本" 在网络安全领域,了解基础概念是至关重要的,这份笔记详尽地涵盖了从域名到DNS再到CDN的基本知识,对于安全测试和防御策略的理解有着极大的帮助。 首先,域名是互联网上的一个关键元素,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值