给你一个网站如何进行渗透

已于 2024-01-16 11:40:43 修改
阅读量401 收藏 4
点赞数 9
分类专栏: 网络安全 文章标签: 网络安全
于 2023-11-24 22:10:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46390077/article/details/134607675
版权

        首先是客户给予的资产:拿到一个域名,首先找到他真实的IP地址,如果存在cdn就尝试绕过cdn,没有就开始扫描端口(开放了哪些端口)。

        其次对于端口:针对开放的端口,可以得到客户的允许后进行爆破。

        最后:查找网站子域名,对后台目录爆破,通过wapperlyzer插件判断网站的CMS

例子:

查找IP:

进行查找真实的IP地址,有cdn就进行绕过找到没有就进行下一步

多个地点Ping服务器,网站测速 - 站长工具(检测是否有cdn)

绕过cdn:子域名查询,邮件服务器,历史解析记录等都可以进行尝试。

端口扫描:

使用nmap扫描工具查看哪些端口开放

nmap  -sS -T4 -v -o  ip地址

判断网站的CMS:

可以使用火狐插件wappalyzer查看使用了什么框架,语言等

漏洞利用:

1. 网上查找有无历史漏洞可以利用。

2. 尝试会的所有的漏洞进行挖掘(比如xss ,文件上传,业务逻辑,ssrf,SQL注入等等)

编写测试报告:

将挖到的漏洞进行测评,验证,防护建议等,编写成报告提交给客户。

爱吃银鱼焖蛋
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全渗透字典大全五个字典
07-10
在使用burp等软件的时候,字典一定是必不可少的,一个好的字典可以让你的成功概率上升也可以促使你的目的达成,而很少有人会自己去制作一个字典,因为不仅仅需要很多的经验,更要花费巨大的时间是很不值得的,之所以他叫做字典,是因为他的数量巨大,使用起来比较方便,我这里就发布了一个字典的压缩包,这个压缩包有五个字典,非常适合学习网络安全和渗透的人使用,这个字典数量庞大,使用起来也非常方便,在使用时,只要导入字典就可以进行操作,这里的字典已经按照顺序排列,非常适合使用,而且他不仅仅数量庞大,体积也非常小,希望可以对大家有帮助
手把手教你如何进行内网渗透
09-20
手把手教你如何进行内网渗透。 一篇文章带你快速了解!
有手就行:零基础渗透网站步骤
jklbnm12的博客
07-03 2万+
前言:渗透技巧小总结,希望大家喜欢! 渗透技巧 1.拿到一个网站后,先进行扫描,对网站全局进行爬行。 2.某些cms的网站设置过滤不严,直接在网站后面加上admin/session.asp 或 admin/left.asp 可直接进入后台 3.入侵网站之前连接下3389,可以连接上的话先尝试弱口令,不行就按5次shift键,看看有没有shift后门 4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选–查看即可直接进入后台。 5.:jav.
网站渗透思路(小白专看,大佬绕道)
weixin_48477703的博客
06-12 1万+
渗透测试大体可以分为六大步 1. 信息收集 2.漏洞挖掘 3.漏洞利用 4.提升权限 5.清除测试数据 6. 总结归纳输出报告并提出修复建议 首先在获取书面授权的情况下,才可以进行渗透测试,提前询问有没有敏感操作等,首先进行网站的信息收集 ...
【网络安全】网站站点渗透实战
jazzz98的博客
04-10 1468
【网络安全】记一次网站站点渗透
渗透测试(Penetration Testing)
weixin_30500105的博客
09-11 1064
渗透测试(Penetration Testing) 目录 Author : ZwelL Last Updated : 2007.12.16 零、前言 一、简介 二、制定实施方案 三、具体操作过程 四、生成报告 五、测试过程中的风险及规避 参考资料 FAQ集 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗...
渗透一个网站的基本步骤
weixin_64809022的博客
02-05 2807
渗透测试
谈一谈渗透测试流程
02-24
当拿到一个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些,哪些社工手段我们不能使用等等真实ip查询当然,如果连真实ip都没有...
针对Web系统进行渗透测试的安全工具
03-16
该工具主要用于白帽安全人员在得到用户授权的前提下,对用户指定的目标系统进行安全性渗透测试,支持通信数据包发送、修改、重发等常见Web请求操作。
一次完整的渗透测试流程,网站渗透存在哪些漏洞和隐藏的风险?
jennycisp的博客
05-18 841
渗透测试就是利用我们所掌握的渗透知识,对网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵!渗透测试的前提是我们得经过用户的授权,才可以对网站进行渗透。如果我们没有经过客户的授权而对一个网站进行渗透测试的话,这是违法的。去年的6.1日我国颁布了《网络安全法》,对网络犯罪有了法律约束,不懂的移步——> 网络安全法渗透测试分为 白盒测试 和 黑盒测试。
针对单个网站渗透思路(精)
热门推荐
18年3月萌新白帽子
06-13 3万+
本人Web安全初学者,从老师那里获得了一套很完整的针对单一网站渗透思路今天起的早,就自己试着总结一份,记下来。分享给大家。首先,当我们拿到一个网站的域名或者IP的时候。最先要做的是信息收集。下面着重介绍一下信息收集模块一、信息收集——端口扫描与分析1.得到域名后查IP:推荐使用站长工具,选择whois查询和IP反查询,通过ping该域名查看IP。还可以在站长之家下面找到IP的 WHOIS查询,这...
网站渗透思路总结
bluemoon_0的博客
03-16 1363
网站渗透思路总结
如何正确的进行网站入侵渗透测试
weixin_55154866的博客
06-07 1052
大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。一 、信息收集要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等二、收集目标站注册人邮箱1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。
渗透测试 重点方法检测网站漏洞
网站安全专家
09-25 1781
这几天整理了下网站渗透测试中基础部分的第三节,我们SINE安全渗透工程师对代码安全审计,手工渗透测试检查代码的危险漏洞方法,找出安全问题重点,配合工具扫描来达到测试漏洞的目的,本测试重点仅限于客户授权才能操作,切记忽非法尝试入侵!以下方法只是提供网站安全检测的具体参考意见。 1.5. 代码审计 1.5.1. 简介 代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。白盒指通过对...
网站渗透测试原理及详细过程
dzqxwzoe的博客
02-10 811
渗透测试(Penetration Testing)目录一、简介二、制定实施方案三、具体操作过程四、生成报告五、测试过程中的风险及规避零、前言渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hacking),因此我们这里的所有读者应当都是Ethical Hackers,如果您还不是,那么我希望您到过这里后会成为他们中的一员;
安全攻击溯源思路及案例
10-14 3万+
在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 ​ 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等​...
WEB网络渗透的基础知识
2201_75362610的博客
03-01 4165
网络渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课题,在他们口中通常被称为”渗透测试。
渗透测试:完整渗透流程(当拿到一个IP)
最新发布
weixin_54626591的博客
01-11 227
完整渗透流程(当拿到一个IP)
网站渗透思路
bluemoon_0的博客
03-16 441
网站渗透思路
你能对一个网站进行渗透测试么
02-16
不好意思,作为一个由 OpenAI 训练的语言模型,我不具备进行渗透测试的能力和行为。进行渗透测试可能违反法律和道德,我不支持任何非法的行为。如果您需要关于安全的建议,我可以为您提供一些相关的信息和建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值