web安全知识从基础术语、windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新)
专业术语
1.脚本 (asp、php、jsp、phython)动态网站编程语言
2.html (css、 js、html)
3.HTTP协议
4.CMS(B/S) 动态网站内容管理系统
5.MD5
Honcker:北约轰炸驻南大使馆后的中国特色“红客”
肉鸡:被黑客入侵并长期驻扎的计算机或服务器
抓鸡:利用 使用量大的程序的漏洞,使用自动化方式获取肉鸡的行为。
Webshell:通过web入侵的一种脚本工具,可以以此对网站服务进行一定程度的控制。
漏洞:硬件软件协议等可利用的安全缺陷,可能被攻击者利用以对数据篡改、控制。
一句话木马:通过向服务器端提交一句简短的代码,配合本地客户端实现weshell功能的木马。常用客户端”中国菜刀“
提权:操作系统低权限的账户将自己提升为管理员权限
后门:黑客为了对主机进行长期控制留的入口
跳板:使用肉鸡IP来实攻击其他目标,以便更好的隐藏自己的信息。
旁站入侵:同一服务器下的网站入侵,后可通过提权跨目录等手段拿到目标网站权限。常见旁站查询工具有:WebRobot、御剑、明小子和web在线查询等。
C段入侵:(C类网段)同C段下服务器入侵。如目标为192.168.1.222,入侵192.168.1.x的任意一台服务器,然后利用一些黑客工具嗅探获取在网络上传输的各种信息。常用工具有:windows下的Cain,unix下的Sniffit、Snoop、Tcpdump、Dsniff等。
C段入侵技巧:1.扫描1-255全部网段的网站CMS情况。选择自己擅长入侵的CMS。
2.扫描1-255全部网段的端口开放情况。选擅长提权的端口的网站来入侵,通过端口提权。
3.工具:椰树、阿D网络工具包。
渗透测试:1.黑盒测试:未授权的情况下,模拟黑客的攻击方法和思维方式来评估计算机网络系统可能存在的安全风险。
2.白盒测试:相比黑盒来说基本是从内部出发的
3.灰盒测试:基于黑盒白盒之间
web环境搭建
windows基础
服务:是为用户提供功能的一种应用程序。打开服务指令:win+R后运行Services.msc
常见服务 |
---|