【小迪安全学习笔记】基础入门-系统及数据库等

最新推荐文章于 2024-09-13 09:05:53 发布
最新推荐文章于 2024-09-13 09:05:53 发布
阅读量1.1k 收藏 3
点赞数 3
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55227191/article/details/116981109
版权
本文介绍了从操作系统、数据库到第三方软件的安全学习笔记。内容包括通过各种方式识别操作系统类型,如Windows和Linux的特性判断,利用nmap进行操作系统探测;数据库识别与类型,如不同数据库的端口和安全机制;以及第三方平台的识别和安全测试的重要性。强调了这些层面的漏洞可能带来的权限获取和安全威胁。
摘要由CSDN通过智能技术生成

前言:除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取。
在这里插入图片描述

操作系统层面

识别操作系统常见方法
通过网站或通过扫描相关软件识别
大小写对网页都没有影响,这种情况就可以认定为windows服务器,因为windows服务器不区分大小写
在这里插入图片描述

这个网站对应的操作系统是linux服务器
在这里插入图片描述

也可以用TTL来判断服务器系统,相邻的值来判断
在这里插入图片描述

在这里插入图片描述

ip地址可用nm

最低0.47元/天 解锁文章
Akriosx
关注
专栏目录
小迪安全学习笔记基础入门-搭建安全拓展
Akrios的博客
05-13 1318
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
小迪安全学习笔记基础入门-Web源码拓展
Akrios的博客
05-14 1056
前言:Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点: 关于Web源码目录结构 数据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径 data 数据相关目录 install 安装目录 member
小迪安全学习笔记
m0_73148547的博客
03-10 1966
小迪安全课程的笔记
小迪安全学习笔记04
最新发布
lmei1228的博客
09-13 632
也可以根据他的文章内容,比如什么什么官网,去(不同)浏览器:百度,火狐,谷歌去搜,然后又能得到新的IP或者域名,反正信息收集以收集足够多的IP,子域名等等为主。有些目标网站,点开之后,再进一步点页面中的其他内容,会出现另一个目录(比如说子目录),这就是两套程序,也就是两个网站,那么就有两个渗透的机会。pc机中将文件后缀名由.apk改为.zip,发现也是可以解压的,解压下来之后一般来说应该是java写的,可以进行分析,具体可以用渗透工具:“site:(任意)url:可以搜索出包含该域名的二级域名,三级域名。
小迪安全笔记
ANYOUZHEN的博客
03-14 6407
1.后门 黑客留下的一个方便下次进入的网址 2.脚本语言主流php java python 3.常见漏洞 上传 代码执行 sql注入 变量覆盖 逻辑漏洞 反序列化 xss
渗透测试培训学习笔记汇总1(小迪安全
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-04 1508
域名系统(服务)协议(DNS)是一种分布式网络目录服务,主要用于域名与 IP 地址的相互转换,以及控制因特网的电子邮件的发送。后门是指恶意程序或代码,通过绕过正常的访问控制机制,使攻击者能够在目标系统中保持持久的访问和控制权限。后门通常被用于非法入侵、数据盗取、远程控制等恶意活动。常见的后门类型包括:逻辑后门:通过在代码中插入特定的条件或逻辑,使攻击者可以在特定条件下获得未授权的访问权限。(黑客遗留的后门文件,网站后门webshell)远程后门。
小迪安全学习笔记基础入门-概念名词
Akrios的博客
05-06 1398
域名 什么是域名? 地址的名称称为域名,例:www.baidu.com 域名在哪里注册? 第三方网址注册,例:万网(www.net.cn) 什么是二级域名、多级域名? 从右到左:根域名、顶级域名、二级域名、三级域名 news.baidu.com、shehui.news.baidu.com 域名发现对于安全测试意义? 当主站域名无法找到漏洞的时候,从多级域名寻找突破口 DNS 什么是DNS? 域名系统服务协议,主要用于域名与IP地址的相互转换 本地Hosts与DNS的关系? 重定向IP地址,网站在解析IP地址
小迪-网络安全-笔记(01)
Y的博客
03-13 1952
网络安全——学习笔记(01)
Day03 基础入门-搭建安全扩展
风羽墨客的博客
12-06 1827
Day03 基础入门-搭建安全扩展 小迪渗透教程笔记
小迪安全2023】个人学习笔记——信息收集(WAF扫描,github推送监控,封包监听工具,端口扫描)
发布一些个人学习笔记,分享一些可能在安全学习道路上遇到的问题、心得,一起学习一起进步
04-25 2049
主要是信息收集阶段的一些思路,推荐了一些常用的信息收集网站或者项目的地址,主要涉及了网站依照搭建习惯的分类,网站端口扫描,WAF防护分析,teemo子域名枚举脚本,网站证书查询等信息收集阶段方面的内容
小迪安全笔记day1
m0_61967111的博客
07-17 1004
浅记一下我的网络安全学习历程
小迪安全2023年第1天培训笔记:Web应用、架构搭建、站库分离、路由访问、配置受限、DNS解析
weixin_38832257的博客
03-07 4773
小迪安全2023年第1天培训笔记:Web应用、架构搭建、站库分离、路由访问、配置受限、DNS解析
小迪安全学习笔记】信息收集-架构-搭建-waf等
qq_45951598的博客
06-19 436
cms识别技术
小迪安全笔记01
weixin_45382875的博客
06-24 707
小迪安全01 2021/6/22 域名 域名注册商:阿里云、万网、 一级域名:baidu.com 二级域名:news.baidu.com 三/多级域名:shehui.news.baidu.com 域名与安全测试:如果一级域名不能突破,可以从其它级域名下手 DNS与Host DNS 域名系统(服务)协议   是一种分布式网络目录服务,主要用域名与IP地址的相互转换,以及控制因特网的电子邮件的发送。   域名系统。用来把机器名字转换成IP地址。简单来说,全球有很多域名服务器,用来存储从域名到IP地址的映射。
小迪安全DAY1笔记
anananan145的博客
02-18 257
web—2
niwad的博客
12-09 1580
2.基础入门——数据包拓展 网站解析对应 攻击层面? 源码,搭建平台,系统,网络层等 安全问题? 目录,敏感文件,弱口令,IP以及域名 HTTP/S—数据包 • https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。 • http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 • http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 • http的连接很简单,是无状态的;HTTPS协议是由SSL
小迪安全学习笔记--第33天:web漏洞-逻辑越权之水平垂直越权全解
zr1213159840的博客
01-17 849
什么是水平越权,什么是垂直越权 水平越权:通过更换的某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据。使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 垂直越权:通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作。 原理,检测,利用 原理: 前端安全造成:界面,判断用户等级后,代码界面部分进行可选显示,这种判断是不安全的 后端安全造成:数据库数据库中的表可能存在以下情况 user表 ​ id,username,password,usertypr ​.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值