WEB安全及渗透测试
文章平均质量分 86
Lora青蛙
主不在乎
展开
-
信息安全笔记:上传漏洞
Webshell——脚本攻击工具webshell就是一个木马后门shell是指“为使用者提供操作界面”的软件,类似于windows 的cmd.exe。攻击者常常将服务器能运行的脚本文件(木马文件)放置在网站服务器地web目录中,通过web方式,利用木马控制网站服务器,包括上传下载文件、执行任意程序命令等,这就称为拿到了服务器的webshell,也就是拿 到服务器的web控制权限。webshell可以穿越防火墙攻击者与被控制地服务器或远程主机都是通过80端口传递数据,因此不会被防火墙拦截。中国菜刀和原创 2021-06-29 15:25:08 · 474 阅读 · 0 评论 -
暴力破解、SQL注入
如何查找网站后台查找网站后台入口1、手工找默认后台(开源类程序)admin/、admin/login.asp、manage、login.asp…2、字典扫描Web目录字典扫描方法,类似于暴力破解代表软件:wwwscan,御剑后台扫描,DirBuster3、目录爬行网络爬虫,编写脚本,自动遍历Web目录,不依赖于字典,主要依靠爬行算法的效率。代表软件:appscan,Awvs4、google hack如何防御查找后台...原创 2021-06-29 10:25:11 · 767 阅读 · 0 评论 -
渗透测试第一步 信息收集
信息探测渗透测试前,首先要了解目标系统的信息,也就是信息探测。主要需要搜集的是:-目标服务器系统信息(IP,服务器所用系统等)-目标网站子域名目标网站(服务器)的开放端口-目标域名信息、目标网站内容管理系统(CMS)等Wappalyzer是一款能够分析目标网站所采用的平台构架、网站环境、服务器配置环境、JavaScript框架、编程语言等参数的网站技术分析插件。https://www.wappalyzer.com/whoiswhois是一个用来查询域名是否已经被注册,以及注册域名的详细信息原创 2021-05-24 10:32:15 · 748 阅读 · 1 评论 -
信息安全基本术语
渗透测试渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节,能直观的让管理员知道自己网络所面临的问题。所以渗透测试是安全评估的方法之一。根据渗透方法和视角分类,渗透测试可以分为黑盒测试、白盒测试、灰盒测试。黑盒测试“zero-knowledge testing”渗透者完全处于对系统一无所知的状态。除了被测试目标的已知公开信息外,不提供任何其他信息。一般只从组织的外部进行渗透测试。这种类型的测试,最初的信息获取来自DNS、Web、Email及各原创 2021-05-24 09:55:31 · 525 阅读 · 1 评论