七天的星期一

渗透------网络安全------信息安全

前端渗透 ----WEB站点 服务器、IIS 、 HTML / JS / 数据库 、PHP
后渗透 ----操作系统 、数据库 、底层

内网渗透------网络架构 设备 服务器 域控
外网渗透------钓鱼 、社工

黑盒测试----模糊测试
白盒测试----功能测试
灰盒测试

渗透测试： 模拟攻击 ，测试目标系统存在哪些漏洞的过程，探测目标系统是否‘抗揍’。
1，渗透测试标准流程----------------------------- 授权情况下
http://www.pentest-standard.org
事前交互、
情报收集、
威胁建模、
漏洞分析、
漏洞利用、
深度利用、
测试报告
二、
开放式web应用程序风险项目OWASP
http://www.owasp.org.cn

十大安全风险
----注入—漏洞之王

一， 数据库 ： 一批数据的集合 ，用表格来存储
数据库管理系统：用来操作和管理数据库的大型软件平台

  数据库存储层次 ：     服务器------库 ------表------行-------列---------字段值


  常见的数据库   ：      mariadb------开源的  ---------替代MYSQL      

二 ： 准备一台 KALI2020 打开

1）配置更新源–下载数据库软件包
root@kali:~# vim /etc/apt/sources.list
root@kali:~# apt-get update

2）安装mariadb-server软件包
root@kali:~# apt-get -y install mariadb-server

3）
root@kali:~# systemctl start mariadb //启动数据库
root@kali:~# systemctl enable mariadb //设置开启自启
root@kali:~# systemctl status mariadb //查看数据库状态, 按Q退出

4）初始化安全设置
root@kali:~# mysql_secure_installation

Enter current password for root (enter for none): //默认没有密码，回车
Set root password? [Y/n] y //是否为root用户设置密码，Y
New password: //输入密码1234
Re-enter new password: //输入确认密码1234
Remove anonymous users? [Y/n] y //删除匿名用户
Disallow root login remotely? [Y/n] y //禁止root用户远程登录
Remove test database and access to it? [Y/n] y //删除测试库
Reload privilege tables now? [Y/n] y //重新加载权限列表

5）定期更改管理密码使用mysqladmin
root@kali:~# mysqladmin -uroot -p1234 password ‘pwd@123’
root@kali:~# mysql //由于KALI 数据库版本 在10.0.22之后,支持root在本地免密登录
MariaDB [(none)]>

6） 通过将plugin字段清空，实现root 在本地使用密码登录 ，操作如下
MariaDB [(none)]> update mysql.user set plugin=’’ where user=‘root’; //plugin后面是两个单引号，以分号结束。
MariaDB [(none)]> quit //退出

7）重启数据库，更改设置生效
root@kali:~# systemctl restart mariadb
root@kali:~# mysql //登录数据库不输入用户root，和密码 就登不上数据库拉

8）访问数据库：mysql -u用户名 -p密码 -h服务器地址（本地登录省略）
root@kali:~# mysql -uroot -ppwd@123

数据库指令不区分大小写
每一条指令要以分号；结尾

MariaDB [(none)]> show databases; //列出有多少个库
MariaDB [(none)]> quit； //退出

9）库的管理操作
MariaDB [(none)]> use mysql; //选择库
MariaDB [mysql]> show tables; //列出库下的表
MariaDB [mysql]> create database webdb; //创建库
MariaDB [mysql]> drop database webdb; //删除库
MariaDB [mysql]> show databases; //列出有多少个库,确认结果

数据库命名规范： —由字母、数字、下划线组成 ，区分大小写
—不能纯数字
—不能使用SQL关键字

10）表的管理操作
–创建表的结构
MariaDB [studb]> create table studb.hero (学号 int,姓名 varchar(20),性别 char(1),手机号 char(11),籍贯 varchar(24),期望薪资 int);
MariaDB [studb]> show tables;
MariaDB [studb]> desc studb.hero; //列出表的列的信息

---

向表格列添加数据类型： int 整数
char （11） 固定字符型
varchar （24） 可变字符型

注意：指定中的标点符号都是英文的，不能是中文的
添加字符类型数据时，需要添加引号。

–向表里面添加记录
MariaDB [studb]> insert into studb.hero values (20201201,‘郭靖’,‘男’,‘13145201314’,‘东海桃花岛’,8000);
MariaDB [studb]> insert into studb.hero values (20201202,‘黄蓉’,‘女’,‘13145201413’,‘东海桃花岛’,16000);
MariaDB [studb]> insert into studb.hero values (20201203,‘华筝’,‘女’,‘13666667777’,‘蒙古大营’,12000);
MariaDB [studb]> insert into studb.hero values (20201203,‘洪七公’,‘男’,‘18888888888’,‘太湖北丐帮总舵’,48000);
MariaDB [studb]> select * from studb.hero;

1，渗透测试
2，安装mariadb 、启动
3，初始化安全设置
4，定期更改密码
5，访问登录数据库
6，库的管理 ： 查库 、创建库 、删除库
7，表的管理 ：创建表 、添加记录 、删除表