web安全|渗透测试|网络安全10天

最新推荐文章于 2024-07-25 23:51:24 发布
最新推荐文章于 2024-07-25 23:51:24 发布
阅读量2.1k 收藏
点赞数
分类专栏: 网络安全 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haxixihaha/article/details/121158944
版权

第10天:信息收集-资产监控拓展

Github监控
便于收集整理最新exp或poc
收集需要利用github代码,之后修改对应的信息,利用下面的https
https://sct.ftqq.com/login,进行修改对应的域名,进行资源相关搜索。
可以通过脚本,检测到对应的https的资源
在这里插入图片描述
通过链接就可以下载了。
这种是自动化脚本,可以监控代码,或者漏洞,便于下载。
域名思路
在这里插入图片描述

这里面fofa,需要办理会员,这里面费用较贵
在这里插入图片描述
黑暗引擎实现域名端口等收集。

全自动域名收集枚举优秀脚本使用:
https://github.com/bit4woo/teemo
脚本使用需要翻墙,而且需要python27上面安装,而且会用到黑暗引擎,当然没有账号的话,搜索的内容会少很多。
在这里插入图片描述
另一个域名搜索工具,这个工具的话,相对方便,快捷
在这里插入图片描述
在这里插入图片描述
案例:
首先扫描网站
在这里插入图片描述
找到容易出漏洞的地方,这里可以看到这个网站平台,给好多用户创建的相同的模板,而且有的还有还未搭建。
在这里插入图片描述
这里有新的漏洞
在这里插入图片描述
通过搜索关键字,找到对应的漏洞
在这里插入图片描述
首先,发现CVE2019漏洞,首先复现漏洞,之后在利用这个漏洞进行攻击。若是反弹自身ip,则需要使用公网服务器。
微信公众号,收集和爬取可以看到其他方面的应用。
资源
ipip.net/cdn.php
https://securitytrails.com/domain/www.baidu.com/history/a
https://tools
https://sct.ftqq.com/login
https://dnsdb.io
https://crt.sh
https://www.opengps.cn/

枸杞地黄丸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
渗透测试工具网址--自用
CC__Faker的博客
06-04 2266
信息收集 子域名查询 Layer子域名挖掘机 Site百度语法 crt.sh cdn绕过 CDN历史记录:x.threatbook.cn 历史cdn解析记录:https://securitytrails.com/domain/www.baidu.com/history/a 子域名查询工具:https://seuritytrails.com/list/apex_domain/caredaily.com 查网址cdn :dnsdb.io 查网址cdn,子域名:crt.sh GOBUSTER - 目
2020小迪安全第十天笔记-(信息收集)资产监控拓展
weixin_51566416的博客
12-08 5192
笔记来源视频: 【小迪安全】web安全渗透测试网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-资产监控拓展 目录 信息收集-资产监控拓展 #Github 监控 便于收集整理最新 exp或 poc 便于发现相关测试目标的资产 #各种子域名查询 #DNS,备案,证书 #全球节点请求 cdn #黑暗引擎相关搜索 #微信公众号接口获取 #内部群内部应用内部接(社会工程学) ·黑暗引擎(如fofa.so)实现域名接口等收集 ·全自动域名收集枚...
【小迪安全】web安全渗透测试网络安全 | 学习笔记-2
youngerll的博客
12-28 1567
【小迪安全】web安全渗透测试网络安全 | 学习笔记-2
2020小迪培训(第10天 信息收集-资产监控拓展)
是阿明呐的博客
08-01 2491
信息收集-资产监控拓展 Github 监控 便于收集整理最新 exp 或 poc 便于发现相关测试目标的资产 如何使用(为什么用这个技术?一是官方的ctms是需要收费的,我们可以通过监控github来找到类似的源码,二是在github官网上有着最新的检测漏洞报告) 首先将下面的内部接口放在 PyCharm中,安装所对应的脚本所需的库,即import后面的东西 接着在github注册、在https://sct.ftqq.com/ 微信登录后获取SendKey,在脚本中进行更改
CDN绕过
YouthBelief的博客
10-25 5067
CDN绕过前言一、判断cdn是否存在1.直接ping2.超级ping3.nslookup二、CDN绕过1.子域名2.国外ping3.历史DNS解析4.通过ico图标哈希5.利用邮件系统6.通过网站证书7.ssl证书查询8.http数据包查看9.利用app端10.去掉3W11.碰运气12.服务器所在城市ping(不确定) 前言 参考 web渗透实用操作----11招找真实IP - FreeBuf网络安全行业门户 https://www.freebuf.com/articles/web/288784.html
30 天渗透测试练习2.pdf
10-06
网络安全渗透测试】是网络安全领域中的一个重要环节,它旨在通过模拟黑客攻击行为,评估和提升网络系统的防御能力。渗透测试的目的是找出系统中的安全漏洞,防止真正的恶意攻击者利用这些漏洞进行非法活动。以下是...
30 天渗透测试练习1.pdf
10-06
网络安全渗透测试是评估网络防御能力的一种方法,模拟黑客攻击行为以发现潜在漏洞。"30天渗透测试练习1.pdf" 提供了一个自我学习和实践的计划,旨在通过一系列的在线平台和虚拟环境来提升安全技能。这个计划没有特定...
计算机网络安全web漏洞扫描工具
04-01
一种Java脚本自动分析仪支持Ajax安全测试和Web 2.0应用软件。 行业最先进和最深入的SQL注入和跨站点脚本测试 强大的可视化功能使得测试网页表单和密 码变很容易 广泛的报告设施,包括签证的PCI遵守情况报告 多线程...
第43天:漏洞发现-WEB应用之漏洞探针类型利用修复1
08-03
网络安全领域,Web应用漏洞的发现与修复是至关重要的任务,因为这些漏洞可能导致敏感数据泄露、系统被控制,甚至整个网络基础设施瘫痪。本篇主要探讨了针对不同类型的Web应用漏洞探针的利用和修复方法,包括对已知...
网络安全培训方案.pdf
09-26
网络安全培训方案 该培训方案旨在提高学生的Web渗透...该培训方案旨在提高学生的网络安全知识和Web渗透测试能力,涵盖了Web服务器安全、信息刺探、漏洞扫描、系统安全、系统枚举和嗅探、Web服务器安全等方面的知识点。
微软蓝屏事件:网络安全的多维挑战与应对策略
sinner小屋
07-23 661
微软蓝屏事件,这一近期震动全球科技界的重大事件,起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”,这个缺陷如同潜伏的病毒,一旦被激活,便在全球范围内引发了连锁反应。近850万台设备,从个人电脑到关键行业的服务器,无一幸免地遭遇了系统崩溃,屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公,更是波及了航空、医疗、传媒等关键领域,造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 500
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
par@ish的博客
07-22 1089
CrowdStrike的Falcon Sensor软件,上周导致大量Windows电脑出现蓝屏故障,现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份,Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后,由Falcon Sensor进程引发的“Kernel panic”问题,影响了部分Red Hat Enterprise Linux 9.4用户。
如何保护你的网络安全
m0_70655343的博客
07-15 1043
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
网络安全相关竞赛比赛
黑战士的博客
07-18 768
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
WAF+API安全代表厂商|瑞数信息入选IDC报告《生成式AI推动下的中国网络安全硬件市场现状及技术发展趋势》
科技云报道
07-25 499
目前,传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击,API安全应站在全生命周期管理的角度,从API安全开发和部署(API测试等)开始,配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。WAF可以作为硬件设备、企业软件、虚拟设备或公有云服务部署。从API的开发部署开始,融合静态应用安全测试、动态应用安全测试、API资产梳理、API鉴权认证、API检测监测、威胁管理的全生命周期防护解决方案,帮助用户一键解决API安全问题。
“微软蓝屏”事件暴露了网络安全哪些问题?
qq_35177516的博客
07-22 837
在当今数字化时代,网络已经成为我们生活和工作中不可或缺的一部分。然而,随着技术的飞速发展和网络应用的日益广泛,网络安全问题也日益凸显。近日,一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件,不仅成为科技领域的热点新闻,更是一次对全球 IT 基础设施韧性与安全性的深刻检验。
企业产品网络安全建设日志0725
最新发布
KD的疯狂实验室
07-25 112
显然,这种说法是安全工作中的一个挑战。因为推动时间也蛮长了,做出了:只要升级一部分,易升级的组件即可。前天遇到的挑战是某后端部门排期出现问题,本应该做漏洞提升的时间被其他工作插入。测试团队需要进一步支持,因为组件升级,许可证升级以及后续的编码安全建立都是一串蚂蚱。基础的安全种子显然已经埋下。团队有人A提出,是否有必要按照某软件报的漏洞信息实施安全提升工作。我们的信息安全策略就是通过覆盖三防组件风险,降低我们产品自身的风险。特别是搬出来A之前在,其他企业的经验,即。安全宣讲和必要的沟通是无法回避的。
速盾:网络安全和 CDN 之间的关系是怎样的?
zhuguowang01的博客
07-25 233
首先,CDN可以提供分布式的网络基础架构,帮助分散用户的请求并减少对源服务器的负载。网络安全主要涉及保护网络和系统免受各种威胁和攻击,而CDN是一种用于提供更快速、高效和可靠的内容交付服务的技术。在当今数字化和云计算时代,网络安全和CDN之间的关系变得更加紧密,共同为用户提供更好的网络体验和保护。在当今数字化和云计算的时代,网络安全和CDN的结合对于提供更好的网络体验和保护用户的信息安全至关重要。CDN可以使用身份认证和加密技术来确保用户和服务器之间的通信安全,并检测和阻止任何中间人攻击的尝试。
"网络安全Web安全渗透测试笔试总结以及常见面试题目概述
以上是笔试中涉及的面试题目,对网络安全Web安全渗透测试等相关的常见知识进行了涵盖和总结。这些题目涵盖了网络安全的基础知识、漏洞利用、攻击手段和防御技术等方面内容。同时,这些题目也对应聘者的知识储备...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值