渗透测试
文章平均质量分 95
lady_killer9
CKA、CKS证书持有者,安全工程师
展开
-
《MetaSploit渗透测试魔鬼训练营》之WEB应用渗透技术
OWASP TOP 10SQL注入攻击跨站脚本跨站伪造请求会话认证管理缺陷安全误配置不安全密码存储:加密算法过于简单不安全的对象参考:例如,读取任意文档限制URL访问失败:没有身份验证,例如,某企业员工可以低价购买商品的URL泄露,但是没有进行身份验证缺乏传输层保护:明文传输,没有使用SSL/TLS进行加密。未验证的重定向或跳转:例如,URL中含有未经验证的参数导致跳转至其他网站SQL注入攻击手工注入点击SIGNIN,可以看到dvssc公司的登录界面原创 2021-01-19 10:36:12 · 11372 阅读 · 0 评论 -
《MetaSploit渗透测试魔鬼训练营》之环境搭建
目录渗透测试流程概述顺序渗透标准渗透阶段前期交互阶段情报搜集阶段威胁建模阶段漏洞分析阶段渗透攻击阶段后渗透分析阶段报告阶段环境搭建网络环境虚拟机镜像BT5owasp bwa靶机Win2K3 metasploitableUbuntu MetasploitableWinxpSP3 metasploitable情报搜集阶段通过DNS和IP挖掘(踩点)whois域名注册信息查询ip定位查询Google Hackin...原创 2021-01-04 17:29:47 · 13389 阅读 · 15 评论 -
《MetaSploit渗透测试魔鬼训练营》之信息搜集
目录通过DNS和IP挖掘(踩点)whois域名注册信息查询拓扑路径网站目录主机与端口扫描活跃主机扫描参考通过DNS和IP挖掘(踩点)whois域名注册信息查询打开msfconsolemsfconsole打开msfconsolewhois dvssc.com查到的不是虚拟机内的。whois查询后面的dig、nslookup不说了,原因也是查的都是外网的。Google Hacking同样,虚拟机内的不会再谷歌找到,不过Google.原创 2021-01-05 17:57:46 · 9438 阅读 · 0 评论 -
渗透测试-Kali Linux学习(Linux基础、Shell编程、渗透测试软件)
目录结构Linux的目录结构,类似于一棵树,根节点是“/”。总览打开“文件系统根目录”或者root@frank:/# cd /root@frank:/# ls可查看根目录下的文件,蓝色表示目录;绿色表示可执行文件,包括.sh,.py等;红色表示压缩文件,包括.zip、.tar等;浅蓝色表示链接文件;灰色表示其它文件,包括.conf,.db,.img,.old等;黄色是设备文件,包括block, char, disk等。bin存放命令/可执行文原创 2021-01-18 18:12:43 · 15422 阅读 · 0 评论