操作系统和数据库漏洞说明

最新推荐文章于 2024-05-11 07:48:49 发布
最新推荐文章于 2024-05-11 07:48:49 发布
阅读量280 收藏
点赞数
分类专栏: owasp top10 漏洞 文章标签: 数据库
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg5MDY2MTUyMA==&mid=2247485507&idx=1&sn=06027d2f480ccf9f0ef6814150b2362d&chksm=cfd877bcf8affeaaabb1b69fd046155ccfe3eaf0a8f155a74af88f1133a4da7a5aeec41ee889&scene=21#wechat_redirect
版权

1.操作系统

在这里插入图片描述

1.1识别操作系统常见方法

  • 看字母大小写,windows对大小写不敏感,Linux敏感
  • 看ping值 --ttl在64左右,linux --ttl在128左右windows
  • nmap -O ip

1.2简要两者区别及识别意义情况

  • 可以帮助我们明确思路
  • 可以筛选掉不符合系统的情况

1.3操作系统层面漏洞类型对应意义

  • 覆盖面广
  • 获取的权限高
  • 危害性大

2.数据库

2.1 识别数据库类型常见方法

  • nmap -O ip
  • nmap ip -p 端口,通过端口开放反推数据库

2.2数据库类型区别及识别意义

  • 数据库的漏洞和类型相性很强
  • 不同数据库漏洞爆发点不太一样
  • 能确定数据库类型、版本,会对渗透有很大帮助

2.3 数据库常见漏洞类型及攻击

  • 弱口令
  • sql注入

2.4 简要数据库层面漏洞影响范围

  • 要参考数据库的重要程来判定影响范围

2.5 常见的数据库结构

  • ASP+Access
  • php+mysql
  • axpx+mssql
  • jsp+mssql,oracle
  • python+mongodb

2.6 服务器端口

  • 关系型数据库 --MySQL:3306 --SqlServer:1433 --Oracle:1521
  • NOSQL数据库 --MongoDB:27017 --Redis:6379 --memcached:11211

除去常规WEB安全及APP安全测试外,类似服务器单一或复杂的其他服务( 邮件,游戏,负载均衡等),也可以作为安全测试目标,此类目标测试原则只是少了WEB应用或其他安全问题。所以明确安全测试思路是很重要的!

安全天天学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常用的权威漏洞库(在线查询)
06-02
了解常用操作系统/软件(windows、IIS、apache等)的漏洞,有利于提高web应用的安全性及更好的设计安全的web应用,通过权威机构发布的安全漏洞库或许这些信息是一个不错的选择。
SQL注入漏洞发现和数据库监控系统.zip
最新发布
05-27
本篇将深入探讨SQL注入漏洞的发现、修补技术和数据库监控系统的应用。 首先,让我们了解SQL注入的基本原理。当用户输入的数据未经充分过滤或转义就被直接拼接到SQL查询语句中,攻击者可以通过构造特殊的输入来执行...
数据库漏洞
steppppup的博客
03-15 805
String str = new Scanner(System.in).nextline;System.out.println( statement.execute(("select * from test4 where (username=1 and usercode=")+str));若用户输入 'aa') or 1=1 则 会构成完整语句:select * from test4 where ...
2024年最全网络安全人士必备的13个漏洞库_通用漏洞数据库,你还看不懂吗
m0_60452293的博客
05-11 949
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
常见数据库漏洞
Fly_鹏程万里
12-16 1770
MySQL数据库 默认端口:3306 攻击方法:     爆破:弱口令     身份认证漏洞:CVE-2012-2122     拒绝服务攻击     Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意     提权 参考:     https://www.seebug.org/appdir/MySQL     http://www.waitalone.cn/m...
【渗透测试】常见的数据库漏洞
ssrf
03-18 1070
MySQL数据库 默认端口:3306 攻击方法: 爆破:弱口令 身份认证漏洞:CVE-2012-2122 拒绝服务攻击 Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意 提权 参考: https://www.seebug.org/appdir/MySQL http://www.waitalone.cn/mysql-tiquan-summary.html?replytocom=390 https://xz.ali
(42.1)【操作系统漏洞发现专题】操作系统漏洞之简介、分类、危害、发现工具、利用
04-28 4461
【专题】操作系统漏洞发现
最新MySQL数据库漏洞情况通报
12-15
值得注意的是,不仅是MySQL,使用相同内核的开源数据库系统,如MariaDB和PerconaDB也受到了此漏洞的影响,但它们已经在9月6日发布了修复补丁。 为应对这一威胁,Oracle公司宣布将在10月18日发布关键的补丁更新。...
正方教务管理系统数据库任意操作漏洞 _ 乌云漏洞库,乌云镜像站, WooYun 漏洞库, WooYun 镜像站1
08-03
【正方教务管理系统数据库任意操作漏洞】是一个严重的安全问题,涉及到国内广泛应用的正方教务管理系统。这个漏洞源于系统默认配置不当,使得攻击者能够进行任意数据库操作,只要他们知道服务器的IP地址。由于全国有...
数据库审计系统需求说明.docx
03-18
支持定期自动扫描数据库漏洞和不安全配置,提供漏洞扫描报告。 6 运维审计 支持tel net、ftp、SSH协议及其他私有协议的旁路会话审计;会话审计日志应含 源IP、目的IP、会话起始时间、会话结束时间、连接时长、会话...
操作系统数据库安全管理制度.doc
10-03
安全管理要求中明确了责任分工,操作系统数据库的管理和维护由运行监控室等相关部门负责。权限分配需根据业务需求,由相应业务部门授予,确保只有合法授权的用户可以访问敏感信息。系统和数据库管理员需定期检查和...
安全漏洞数据库_大数据安全性:漏洞管理
danpu0978的博客
05-21 413
安全漏洞数据库 MapR安全和数据治理高级产品经理Mitesh Shah介绍了大数据安全中的一个重要概念:漏洞管理,这是信任模型中的关键层。 他解释了MapR融合数据平台提供的功能,以及客户在维护安全环境方面的作用。 想要查询更多的信息: 在正确级别的Hadoop中保护文件安全白板演练 Davi Ottenheimer的6大要素确保电子书安全 安全共享大数据 Ted Dunn...
通用漏洞 之 SQL数据库漏洞 1(个人学习)
qq_57774303的博客
11-30 73
当输入 1 and 1=1 的时候 实际上在后台显示的时 sql = 'select * from users where id = '1 and 1=1' limit 0,1'';当只输入id =1’ union select database()时的报错 是因为 对应的列数不一样 前面只是查询了一列 ,而我们需要的列数是几列我们并不知道。而现在因为union在的缘故 因为id=1的时候前面已经正确了所以并不会执行后面面的 select 语句 所以需要将 改成 id=-1'才会运行后面的语句。
网络安全工程师必知的75个网络端口(非常详细)从零基础入门到精通,看完这一篇就够了_常用端口
uiuuyy67的博客
04-16 656
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。(img-vYUzaBlZ-1713270115553)]还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
漏洞发现之操作系统
剁椒鱼头没剁椒的博客
12-26 1841
系统漏洞(System vulnerabilities)是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
系统及数据库漏洞思路
weixin_52657559的博客
08-15 387
对于漏洞一个思路笔记
【网络安全】系统及数据库等安全问题
m0_52149675的博客
03-22 6610
系统及数据库等安全问题,绕过mysql登录认证实例,
常见数据库漏洞分析与安全总结
xishanm的博客
10-15 1235
数据库安全总结
网络信息安全笔记—逻辑漏洞
L120305q的博客
11-05 2333
网络信息安全笔记-逻辑漏洞
数据库漏洞攻击实训:SQL工具使用与防护策略
这份15页的PPT旨在帮助学习者了解和掌握数据库漏洞攻击的技术原理,以及如何利用SQL工具进行实战操作。" 在网络安全领域,数据库漏洞攻击是一个重要的议题,因为数据库通常承载着大量敏感信息,一旦被攻击,可能会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值