渗透自学(一)基础知识

最新推荐文章于 2024-06-21 18:30:00 发布
最新推荐文章于 2024-06-21 18:30:00 发布
阅读量1.9k 收藏 7
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57449919/article/details/122405701
版权
本文介绍了渗透测试的基础知识,包括Web安全中的域名收集、DNS攻击、脚本语言和后门类型。讲解了Cookie、Referer、POST与GET的区别以及HTTP响应码。此外,还涉及目录扫描、文件权限、数据库配置和CMS指纹识别。讨论了加密算法如MD5、SHA和加密方式。最后,讲述了如何绕过CDN,包括子域名查询、邮件服务和特定文件扫描。
摘要由CSDN通过智能技术生成

第一天基础:

         域名收集的目的:多个突破口

         CDN:会使你无法获得真实的ip地址,仅为分发网络的子系统,非源系统,攻击CDN所传达的ip地址无效

         常见DNS攻击:DNS劫持、DNS缓存投毒:解析恶意地址

         脚本语言类型:javaweb(适合中大网站)、.php(适合小网站)、.asp、aspx、.jsp、.pl、.py、.cgi(国外常用)

         后门:webshell,文件上传、更改免杀(白名单)

         app封装网站

         WEB组成架构模型:

  1. 网站源码:分脚本类型,分应用方向
  2. 操作系统:windows,linux
  3. 中间件(搭建平台):apache iis tomcat Nginx等
  4. 数据库:access mysql mssqlserver oracle Sybase db2 postsql

         Web源码类漏洞:

  1. sql注入
  2. 上传文件
  3. xss
  4. 代码执行
  5. 变量覆盖
  6. 逻辑漏洞
  7. 反序列化

         域名枚举

第二天基础:

         Cookie:cookie是在浏览器中积存的小型数据体,可用于记载和服务器相关的用户信息,,也可以实现会话功能(登陆存活)。浏览器用该属性向服务器发送cookie。

         Referer:表明产生请求的网页URL。可用于追踪web请求的网站来源。也可以伪造来源页。例子:从网页/icconcept/index.jsp中点击一个链接到网页/icwork/search,在向服务器发送的GET/icwork/search中的请求,Referer则为http://hostname:8080/icconcept/index.jsp

         POST和GET的区别:

                   POST的数据存在于请求体中,即数据包的最下面

                   GET的数据存在于开始

HTTP响应码:

                   1xx:信息,请求收到,继续处理

                   2xx:成功,行为被成功接收或理解

              

最低0.47元/天 解锁文章
ecnOXong
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透基础知识入门(自学笔记)
woqusss的博客
07-31 3205
渗透,要学的东西还是比较广,需要有一些基础知识作铺垫开始学,而且作为一个刚踏上学习道路不久的小伙子更应该在学习道路中不断补充更多基础知识,如编程语言,网络知识等,该篇笔记做一些基础知识的铺垫,主要围绕网络知识(域名,DNS,数据包),操作系统,数据库,Web组成架构(网站源码,操作系统,中间件,数据库),Web相关安全漏洞介绍,拓展,后门,常见的加密方式 比方说,我现在想日了某站点,那么总应该知道这个站点是哪个名字或者有什么唯一标识吧,这时候就有了IP(每一个网络和主机都会有一个逻辑地址,在交换数据
web渗透基础基础知识
12-13
主要是写了web渗透的基本知识,,里面也有些图解,可以更好地理解
渗透基础学习-信息搜集
qq_43390703的博客
12-14 1591
业务相关 github泄露 针对每个企业有对应的开发项目和文件、有些项目又是开源的,有可能会在github上建一个项目。因此,有时候可能可以通过github的关键字搜索查到到一些可以利用的信息,甚至是用户名和密码。 可以通过GitMiner对泄露的信息进行搜索处理。 GitHub敏感信息关键词列表: ".mlab.com password" "AWSSecretKey" "JEKYLL_GITHUB_TOKEN" "SF_USERNAME salesforce" "access_key" "access.
渗透测试知识点总结(非常详细),从零基础入门到精通,看完这一篇就够了_渗透测试学习
qkh1234567的博客
06-21 783
渗透测试知识点总结(非常详细),从零基础入门到精通,看完这一篇就够了_渗透测试学习
渗透基础知识
Jay
10-23 509
Arping指令 arping (选项) (参数) -b:用于发送以太网广播帧(FFFFFFFFFFFF)。arping一开始使用广播地址,在收到响应后就使用unicast地址。 -q:quiet output不显示任何信息; -f:表示在收到第一个响应报文后就退出; -w:timeout设定一个超时时间,单位是秒。如果到了指定时间,arping还没到完全收到响应则退出; -c:count表示发送指定数量的ARP请求数据包后就停止。如果指定了deadline选项,则arping会等待相同数量的a
Web渗透基础知识
HahAPhiK的博客
05-16 5604
网络基础IP协议IP协议定义在OSI-RM第三层———网络层IP协议面向无连接,IP网中的节点路由器根据每个IP包的包头IP地址进行寻址,这样同一个主机发出的属于同一报文的IP包可能会经过不同的路径到达目的主机。TCP/IP协议并不完全符合OSI的七层参考模型。这7层从低层到高层:1物理层、2数据链路层、3网络层、4传输层、5会话层、6表示层,7应用层。其中高层(即7、6、5、4层)定义了应用程序...
WEB网络渗透基础知识
落叶花雪的博客
08-15 2万+
网络渗透 1.什么是网络渗透 网络渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课题,在他们口中通常被称为”渗透测试(Penetration Test)”。 无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服...
渗透知识集合.pdf
05-02
#### 渗透测试基础 渗透测试(Penetration Testing),简称渗透测试,是一种通过模拟黑客攻击的方式对计算机系统、网络安全进行评估的过程。它旨在发现网络和系统中的安全漏洞,并提出解决方案。渗透测试可以是白盒...
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
01-09
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。...
自学考试本科营养学[一]复习知识点汇总.doc
09-20
自学考试本科营养学[一]的复习中,我们需要掌握以下核心知识点: 1. 营养素是食物中能够支持生命活动的物质,主要包括蛋白质、脂类、碳水化合物、维生素、矿物质和水这六类。这些营养素是人体正常生理功能的基础...
渗透检测的基础知识及其应用
06-17
本书详细讲解了渗透检测的基础知识、分析检测的原理及应用实例
SQL注入自学指南
03-21
首先,我们需要了解SQL的基础知识。SQL(Structured Query Language)是用于管理和处理关系数据库的标准语言。它可以用来创建、更新、查询和管理数据库。当用户在网页表单中输入数据,这些数据通常会被直接拼接到SQL...
渗透测试基础知识
h0ers的博客
10-05 337
本文总结了一些渗透测试的基础知识
渗透测试入门基础知识
Han_V_Qin的博客
11-10 3866
一、什么是渗透测试?     渗透测试(penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,这个过程包括对系统的任何弱点, 技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且这个位置有条件注定利用安全漏洞。换句话来讲,渗透测试是指渗透人员在不同的位置(比如从内网、外网等位置),利用各种手段来对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报
网络安全渗透基础知识点)
VN520的博客
04-04 4757
1、 脚本语言2、常见脚本语言3、 HTTP协议,HTTP代理4、 CMS(B/S)内容管理系统5、 MD5(不可逆的,常见的MD5解密网站其实是将一些明文进行MD5加密,形成一个库,在查询的时候将密文与库中的信息进行碰撞,最后得到明文)
渗透测试入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
热门推荐
Python_0011的博客
01-07 3万+
渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。一定要注意的是,在进行渗透测试前,需要获得目标客户的授权,如果未获得授权,千万不要对目标系统进行渗透测试,后果请查看《网络安全法》。同时要有良好的职业操守,不能干一些违法的事情。网络安全产业就像一个江湖,各色人等聚集。
渗透测试测试点
hyb648115428的博客
03-04 1860
1.拿到一个待检测的站,你觉得应该先做什么?   1)信息收集 获取域名的whois信息,获取注册者邮箱姓名电话等。 查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞 查看IP,进行IP地址端口扫描,对...
内网渗透基础知识
qq_48904485的博客
04-23 696
1、工作组 工作组(Work Group)是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系
网络安全渗透测试自学
最新发布
07-31
网络安全渗透测试(Penetration Testing,简称pentest)是一种通过模拟黑客攻击的方式,评估网络系统、应用程序和服务的安全漏洞的过程。它旨在帮助组织发现并修复潜在风险,提升系统的安全性。自学网络安全渗透测试通常包括以下几个步骤: 1. **基础知识学习**:了解计算机网络原理、操作系统、数据库结构、加密技术等基础,这是理解渗透测试的基础。 2. **工具的学习**:熟悉渗透测试工具,如Metasploit(用于漏洞利用)、Nmap(网络扫描)、Wireshark(数据包分析)等,并掌握如何使用它们。 3. **学习渗透策略**:了解黑客攻击链( reconnaissance, gain access, establish foothold, privilege escalation, maintain access, exfiltrate data 和 cover tracks),这涉及到社会工程学、漏洞识别和利用技巧。 4. **实践项目和模拟环境**:参与CTF(Capture The Flag)比赛、使用虚拟机或渗透测试平台进行实战练习,提升动手能力。 5. **法律法规知识**:理解和遵守相关的法律规范,比如《信息安全等级保护法》等,确保合法合规地进行测试。 6. **持续学习和认证**:关注最新威胁情报和技术更新,同时考虑获取CISSP(Certified Information Systems Security Professional)等专业认证来提高职业竞争力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值