- 博客(13)
- 收藏
- 关注
RSS订阅原创 密码暴力猜解与防御(二)
1、猜参数 2、暴破密码 3、找出网站过滤的参数,比如SQL注入和XSS 4、目录扫描 5、压力测试。4.二次验证:防止用户自动化尝试账号登录的动作。前面说了密码暴力破解的方式,那如何防御呢?5.锁定IP:IP识别,人机识别。3.限制尝试次数,锁定账户。2、不同网站使用不同密码。6.行为识别:异地登录。
2024-06-12 19:23:48
168
原创 信息收集—目录扫描
目录扫描是一种网络渗透测试技术,用于发现和列举目标网站上的目录和文件结构。通过目录扫描我们还可以扫描敏感文件,帮助识别网站的隐藏内容、敏感信息甚至后台管理系统的入口。
2024-06-10 23:18:45
1489
原创 信息收集—搜索引擎收集信息
Google Hacking是利用搜索引擎有争对性的搜索信息来对网络入侵的技术和行为。是使用搜索引擎的高级语法和操作符构造出特殊的搜索关键字,从而快速全面地挖掘到有价值的信息。
2024-06-09 23:09:53
256
原创 信息收集—WAF指纹识别
WAF的定义应用防火墙(Web Application Firewall Web)过滤HTTP或者HTTPS的请求,识别并拦截恶意 的请求WAF的类型硬件型WAF云WAF软件型WAF。
2024-06-09 21:32:40
395
原创 信息收集—CMS指纹识别
根据关键特征,识别程序名称、版本等信息。通过关键特征,识别出目标的CMS系统、服务器、开发语言、操作系统、CDN、WAF的类别版本等等内容管理系统。
2024-06-09 20:03:14
1126
原创 信息收集—端口服务信息
虚拟端口指的是计算机内部或网络设备如交换机、路由器中的端口,这些端口通常是不可见的。HOST DISCOVERY:主机发现,怎么对主机进行扫描,比如简单扫描,还是全部 扫一遍,或者用相应的协议扫。SCRIPT SCAN:使用脚本,nmap本身内置了大量的lua脚本,而且还可以自己编写脚本。“一个服务一个端口”指的是为每个网络服务分配一个唯一的端口号,以便区分和访问不同的服务。在网络通信中,端口主要是一个抽象的概念,用以区分不同的网络服务。SCAN TECHNIQUES:扫描技术,协议的设置。
2024-06-09 17:21:21
1571
原创 信息收集—IP信息收集
DNS(Domain Name Syetem)域名系统,在TCP/IP网络中有非常重要的地位,能够提供域名与IP地址的解析服务。CDN(Content Delivery Network) — 内容分发网络让在各个不同地点的网络用户,都可以迅速访问到网站提供的内容。当用户尝试访问一个使用CDN服务的网站时,他们的请求首先被智能路由到距离最近的CDN节点。这个节点存有网站的静态副本,如图片、视频及CSS文件等。因此,用户实际上是从这个靠近的节点获取内容,而不是直接从网站的原服务器上获取。
2024-06-09 13:53:23
430
4
原创 信息收集—域名信息收集
例如,在“www.example.com”中,“example”是二级域名,而“.com”是顶级域名。国际域名:.com(商业公司)、.net(网络服务)、.org(组织也会等)、.gov(政府部门)、.edu(教育机构)、.mil(军事领域)、.int(国际组织)新顶级域名:.biz、.info、.name、.pro、.aero、.coop、.musseum 等。国别域名:.CN(代表中国)、.UK(代表英国)、.US(代表美国)等。可查询的信息—姓名、邮件、电话、地址。备案信息:姓名、备案号、邮箱。
2024-06-08 23:15:42
233
原创 信息收集—信息收集概览
信息收集是通过各种方式获取所需信息的过程,是信息利用的第一步,也是关键一步,关系到测试者渗透测试的成败,也助于渗透者寻找更多的突破口。
2024-06-08 21:47:33
144
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人