毕业实习-第三次作业

最新推荐文章于 2024-08-31 13:02:02 发布
最新推荐文章于 2024-08-31 13:02:02 发布
阅读量2.2k 收藏 52
点赞数 62
分类专栏: 毕业实习 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60273878/article/details/141700658
版权

1.安装xray 实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)
2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作
3.实现xray和burpsuite联动扫描
4.说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理

一.Xray的主动和被动扫描

GitHub - chaitin/xray: 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档

-洞鉴、-无锋、-xpoc

1.主动扫描

使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描

使用命令xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.1/pikachu --html-output xray-crawler-testphp.html

主动扫描

扫描结果的html页面

2.被动扫描

使用HTTP代理进行,设置浏览器http代理为http://127.0.0.1:7777,就可以自动分析代理流量并扫描

使用命令.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp_listen.html

开启listen监听

扫描结果的html页面

二.Goby的扫描

Goby— 资产绘测及实战化漏洞扫描工具 (gobysec.net)

Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。

对本地回环进行全端口扫描:

三.Xray和BurpSuite联动扫描

BurpSuite配置上游服务器127.0.0.1:8989

浏览器设置代理:127.0.0.1:8080

使用xray被动扫描:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output xray-testphp_listen_with_burp.html

查看burpSuite中的http history

四.上层代理服务器的工作原理

以本次联动扫描为例理解

工作原理-流程描述
  1. 浏览器发起请求
    • 用户通过Web浏览器发起HTTP/HTTPS请求。
  1. 经过BurpSuite
    • 浏览器被配置为使用BurpSuite作为代理服务器(如127.0.0.1:8080)。
    • 请求首先被发送到BurpSuite,BurpSuite作为中间人拦截这个请求。
  1. BurpSuite转发请求到上游代理
    • 在BurpSuite中配置了上游代理服务器,该代理服务器位于BurpSuite与目标服务器之间。
    • BurpSuite将拦截到的请求转发给配置好的上游代理服务器。
  1. 上游代理服务器处理请求
    • 上游代理服务器可能执行额外的网络处理,如路由转发、负载均衡、数据加密等。
    • 处理后的请求继续向目标服务器前进。
  1. 目标服务器响应
    • 目标服务器接收到请求后,处理并返回响应。
    • 响应首先回到上游代理服务器。
  1. 上游代理服务器转发响应给BurpSuite
    • 上游代理服务器将响应转发给BurpSuite。
  1. BurpSuite处理响应
    • BurpSuite可以拦截、检查、修改响应内容。
    • 如果需要,BurpSuite可以对响应进行修改,然后再转发给浏览器。
  1. 浏览器接收响应
    • 最终,修改(或未修改)的响应被BurpSuite转发给浏览器。
    • 浏览器显示响应内容给用户。
流程图

流量转发方式的实现

代理服务器实现流量转发的方式主要包括以下几种:

  1. 正向代理:在这种模式下,客户端明确知道代理服务器的存在,并主动将请求发送给代理服务器。代理服务器再根据请求将流量转发到目标服务器,并将目标服务器的响应返回给客户端。正向代理常用于提高访问速度、隐藏客户端信息等场景。
  2. 反向代理:与正向代理不同,反向代理通常用于服务器端,对客户端是透明的。客户端并不知道代理服务器的存在,它们直接请求目标服务器(通常是反向代理服务器的地址)。反向代理服务器接收到请求后,会根据配置规则将请求转发给后端服务器(真正的目标服务器)。这种方式常用于负载均衡、安全防护等场景。
  3. 透明代理:透明代理对客户端和目标服务器都是透明的。它通常在网络层或传输层进行工作,不需要客户端或服务器进行任何配置。透明代理主要用于监控和过滤网络流量,如防火墙中的透明代理功能。
  4. SOCKS代理:SOCKS代理是一种通用的代理协议,它工作在会话层,可以转发任何基于IP的协议。SOCKS代理通过接收客户端的连接请求,然后与远程服务器建立连接,并将数据在两者之间转发。SOCKS代理通常用于需要高度匿名性和灵活性的场景。
时光·烈马
关注
专栏目录
burp与xray实现被动扫描
weixin_44281516的博客
05-12 1121
下载xray https://github.com/chaitin/xray/releases 安装xray证书 .\xray_windows_amd64.exe genca 证书已经安装好 利用xray实行被动扫描 .\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html 打开burp填好被动扫描地址 打开浏览器设置burp代理 就可以开始扫描了 ...
供应链漏洞扫描工具 xpoc 使用教程
gitblog_00790的博客
10-10 1054
供应链漏洞扫描工具 xpoc 使用教程 项目地址:https://gitcode.com/gh_mirrors/xp/xpoc 1. 项目介绍 xpoc 是由 chaitin 开发的一款快速应急响应工具,专为供应链漏洞扫描设计。它支持快速应急响应、漏洞扫描和端口扫描等功能。xpoc 使用 xray yaml poc 脚本格式,支持 TCP/UDP 协议的插件编写和加载,并可以使用 golang 自...
毕业实习-第四次作业
qq_60273878的博客
08-30 2215
并释放当前标签的token。当解析器处于“数据状态(Data state)”时,它会继续解析,每当发现⼀个完整的标签,就会释放出⼀个token。这里有三种情况可以容纳字符实体,“
毕业实习-第五次作业
qq_60273878的博客
08-31 1907
总结了SQL注入原理、SQL注入常用函数及含义,SQL注入防御手段,SQL注入常用绕过waf的方法,sqli-labs通关前5关的解题步骤,总结SQLi的手工注入的步骤,使用sqlmap通过或验证第六关
高校实习管理系统论文-java-文档-高校实习管理系统文档
02-19
- **Java语言**:Java是一种广泛使用的编程语言,具有跨平台性和丰富的第三方库支持。 - **SpringBoot框架**:简化了Java应用程序的开发和部署过程,提供了自动配置等功能。 - **Vue.js**:一种轻量级的前端框架,...
毕业设计、大作业实习实训项目指导.zip
02-23
【标题】"毕业设计、大作业实习实训项目指导.zip" 涵盖了一系列与学生在学术生涯最后阶段,特别是毕业设计、大作业以及实习实训相关的指导材料。这些项目是高等教育的重要组成部分,旨在帮助学生将理论知识应用于...
优质资料(2021-2022年收藏)师范生毕业实习总结.doc
10-11
【标题】和【描述】提及的是一个师范生的毕业实习总结文档,这通常涉及教育实习的经验分享和教学技能的学习。【标签】进一步确认了这是2021-2022年间收集的优质资料。 在【部分内容】中,师范生的实习经历涵盖了...
电子商务专业毕业实习报告范文五篇.doc
11-23
实习内容包括了解第三方物流服务的特点、作业流程,以及作为操作员的职责,如运输作业的操控和信息的处理。实习不仅是检验理论知识的有效途径,也为毕业生提供了了解社会竞争和行业需求的机会。 【实习目的】 实习...
springboot297基于Springboot+Vue毕业实习与就业管理系统的设计-毕业源码案例设计.zip
11-06
springboot297基于Springboot+Vue毕业实习与就业管理系统的设计-毕业源码案例设计 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间...
××大学-实习报告.doc
06-26
- 第一天至第三天:了解机械臂基础知识,包括定义、分类及其结构形式; - 第四天至第五天:深入理解颜色识别原理与系统架构; - 第六天至第七天:实现抓取模块与颜色识别模块的功能整合; - 第八天至第十天:...
2021-2022收藏资料现代物流管理专业毕业实习大纲.doc
09-25
现代物流管理专业毕业实习大纲主要目的是将理论知识与实践相结合,强化和提升学生的实际工作能力,使其能在毕业后迅速适应职场需求并独立开展工作。实习作为实践性教学的重要环节,是教学计划的一部分,也是毕业考核...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8546
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
(源码)基于QT框架的云存储系统.zip
11-13
# 基于QT框架的云存储系统 ## 项目简介 本项目是一个基于QT框架开发的云存储系统,旨在为用户提供一个安全、高效的文件存储和分享平台。系统采用CS架构,客户端通过QT框架搭建,服务端运行在Centos 7环境下。用户可以通过系统进行文件的上传、下载、分享,以及与好友的私聊和文件分享。 ## 项目的主要特性和功能 好友管理支持添加、删除好友,私聊好友,以及分享文件给好友。 文件管理提供文件夹的创建、删除、移动、重命名操作,支持文件的上传、下载、移动和分享。 用户界面使用QT框架搭建用户界面,提供友好的交互体验。 网络通信通过自定义的交互协议实现客户端与服务器的高效数据交互。 并发处理服务器端采用多路复用、内存池、线程池等技术,确保在并发环境下的稳定运行。 ## 安装使用步骤 1. 下载源码从项目仓库下载源码文件。 2. 配置开发环境 服务端安装Centos 7,并配置vim、G++、gdb等开发工具。
2010-2023国自科立项名单管理学部.xlsx
最新发布
11-13
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/143636809 2、数据特点:今年全新,手工精心整理,放心引用,数据来自权威,且标注《数据来源》,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
二、现有一份上市企业年度财务报告文本中管理层讨论与分析文本大数据,请测度以下相关的数据(60分)
11-13
二、现有一份上市企业年度财务报告文本中管理层讨论与分析文本大数据,请测度以下相关的数据(60分)
多个SVCTTS的C推理库.zip
11-13
c语言
1991-2022年国家社科基金项目数据公布.xlsx
11-13
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/143636809 2、数据特点:今年全新,手工精心整理,放心引用,数据来自权威,且标注《数据来源》,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
B.5-本科毕业生就业满意度分析.pdf
11-13
B.5-本科毕业生就业满意度分析.pdf
(源码)基于Spring Boot和JWT的饮品管理系统.zip
11-13
# 基于Spring Boot和JWT的饮品管理系统 ## 项目简介 本项目是一个基于Spring Boot框架的饮品管理系统,主要用于管理饮品分类、商品信息、员工登录及权限管理等功能。系统通过JWT(JSON Web Token)实现用户身份验证和授权,确保系统的安全性和可靠性。 ## 项目的主要特性和功能 1. 商品管理包括商品的添加、编辑、删除和查询功能,支持分页查询和按分类查询。 2. 分类管理支持饮品分类的添加和查询,方便用户按类别浏览商品。 3. 员工登录与权限管理实现员工登录功能,并根据员工角色分配不同的菜单权限。 4. 图片上传与管理支持商品图片的上传和更新,确保商品信息的完整性。 5. 验证码生成与验证提供图形验证码的生成和验证功能,增强系统的安全性。 6. JWT身份验证使用JWT实现用户身份验证和授权,确保系统的安全性和可靠性。 ## 安装使用步骤 1. 复制项目 bash 2. 配置数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值