Day3 作业

已于 2024-09-03 11:12:46 修改
阅读量649 收藏 8
点赞数 19
文章标签: 大作业
于 2024-08-29 11:29:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62414367/article/details/141669565
版权

目录

一、安装xray 实现对皮卡丘靶场的主动和被动扫描

1.被动扫描:

(1)生成证书,安装好证书。

(2)BurpSuit 配置上游代理

(3)浏览器设置

(4)开启监听,被动扫描

(5)说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理

2.主动扫描

二、安装goby,实现对皮卡丘靶场的扫描

1.配置好数据

2.扫描完成,查看报告

一、安装xray 实现对皮卡丘靶场的主动和被动扫描

1.被动扫描:

(1)生成证书,安装好证书。

原理:在浏览器使用https协议通信时,xray通过将自定义的ca证书发送给客户端,客户端若信任该证书,当客户端尝试与真正的服务器建立HTTPS连接时,Xray可以利用该证书签发各种伪造的服务器证书,作为中间人能够拦截并修改这些通信。

Xray先原样返回数据给客户端,从而分别获取到客户端和服务器的响应。这一步骤使得Xray能够分析通信内容,查找可能的安全漏洞。

在获取到通信内容后,Xray可以修改请求中的参数,然后重新向目标服务器发送请求,以测试不同的漏洞场景。

生成证书命令:.\xray_windows_amd64.exe genca

启动Xray,并监听本地的8989端口。所有通过该端口的HTTP/HTTPS流量都将被Xray捕获并进行分析。

命令:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output test.html

(2)BurpSuit 配置上游代理

如果使用Bp作为上游代理,Xray作为被动扫描工具,接收来自另一个代理的转发流量。Burp Suite捕获到目标系统的网络流量后,将其转发给Xray进行分析。这种方式下,Xray不需要直接处理HTTPS流量的拦截和解析,而是依赖于上游代理来完成这些工作。

在BurpSuite中,进入“Options”或“User Options”设置。找到“Upstream Proxy”或“Upstream Proxies”选项,并配置它指向Xray的监听地址和端口。设置好127.0.0.1:8989。

目的:将BurpSuite捕获的网络流量转发给Xray进行分析,从而实现对目标系统的安全扫描

  • (3)浏览器设置

在BP自带浏览器的http://Burp里点击右侧的CA Certificate下载好证书,再在火狐浏览器上安装证书,最后设置浏览器上的代理。由于HTTPS通信是基于SSL/TLS加密的,客户端(如浏览器)会验证服务器的证书以确保通信的安全性。

通过下载并安装Burp Suite生成的CA证书到浏览器中,浏览器会信任由该CA签发的所有证书,包括Burp Suite伪造的服务器证书,使得BP被客户端信任。

  • (4)开启监听,被动扫描

注意Xray的监听端口和扫描参数与BP监听设置一致。

命令:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output 1.html

  • (5)说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理

流量走向:

1.客户端请求:

用户通过浏览器或其他HTTP客户端发起对目标Web应用程序的请求。

2.浏览器代理设置:

在浏览器中配置HTTP代理,将代理服务器地址设置为BurpSuite监听的地址和端口(如127.0.0.1:8989)。

3.请求到达BurpSuite:

浏览器发出的请求首先被发送到BurpSuite,BurpSuite作为上层代理服务器接收并处理这些请求。

4.BurpSuite转发请求:

BurpSuite在接收到请求后,根据配置将请求转发给Xray。这通常通过在BurpSuite中设置上游代理服务器(Upstream Proxy Servers)来实现,上游代理服务器的地址设置为Xray监听的地址和端口(如127.0.0.1:8989)。

5.Xray扫描和处理:

Xray接收到来自BurpSuite的请求后,对请求进行扫描,检查潜在的Web安全漏洞。Xray会分析请求的内容、参数等,并根据内置的规则和插件进行漏洞检测。

6.Xray返回响应:

Xray完成扫描后,将处理后的请求(可能已修改或添加了额外的测试数据)发送给目标Web应用程序,并接收来自服务器的响应。

7.BurpSuite接收响应:

Xray将服务器的响应返回给BurpSuite,BurpSuite再将响应转发给原始的HTTP客户端(浏览器)。

8.浏览器显示响应:

浏览器接收到来自BurpSuite的响应后,显示给用户。

2.主动扫描

爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多。

开始扫描命令:xray_windows_amd64.exe  webscan --basic-crawler http://127.0.0.1 --html-output xray-crawler-testphp.html

过程:

可以看到被输出的报告:xray-crawler-testphp.html

二、安装goby,实现对皮卡丘靶场的扫描

1.配置好数据

2.扫描完成,查看报告

aszDFGH
关注
  • 19
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Day3作业
weixin_51837762的博客
02-28 422
C++day3作业
2201_76096626的博客
04-23 913
【代码】C++day3作业
数据结构day3作业
qq_52217097的博客
03-13 622
思维导图顺序表去重链表的创建结点的创建单向链表的头插。
C语言基础Day3作业
weixin_44559978的博客
02-28 478
网络编程day3作业
qq_50842557的博客
01-16 415
基于UDP的TFTP文件传输。
C高级day3作业
weixin_57136489的博客
01-15 424
1、2、3、
王道C导学班 中级day3作业
weixin_47248822的博客
02-18 1013
中级day3作业 初始化顺序表(顺序表中元素为整型),里边的元素是1,2,3, 然后通过scanf读取一个元素(假如插入的是6), 插入到第2个位置,打印输出顺序表,每个元素占3个空格,格式为1 6 2 3, 然后scanf读取一个整型数,是删除的位置(假如输入为1), 然后输出顺序表 6 2 3,假如输入的位置不合法,输出false字符串。 提醒,Language一定要选为C++。 #define MaxSize 100 #include<stdio.h> #include<
c高3day作业
X_H_L_L_M_Y_的博客
05-22 389
Python day3 day4作业
qq_60264881的博客
04-02 895
循环: while循环 while条件: #循环体 】
day1作业
julie_2000的博客
02-27 484
思维导图。
C语言-基础day3作业
11-02
C语言基础知识点总结 本资源摘要信息涵盖了C语言的基础知识点,包括原码、反码和补码的概念、变量的存储类型、输入输出函数、运算符等。 一、原码、反码和补码 * 原码:十进制数的二进制形式,人可以看懂。...
day14作业.rar
08-07
在本份"Day14作业"中,我们主要探讨的是Python编程语言在处理文件和目录操作方面的实践应用。这些技能对于任何IT专业人士来说都是至关重要的,因为它们涉及到数据的读取、写入、分析和管理。我们将深入研究如何在...
DAY3作业
weixin_63171729的博客
12-11 323
python 语法作业
Java基础巩固Day3作业
Jachin_M的博客
07-17 885
Java基础巩固Day3作业一、基础案例题目1题目2题目3题目4二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基础案例 题目1 使用for循环,求出
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
09-06
Mnist数据集,用于人工智能相关基础模型的学习及编程练习
水空两用无人机动力系统设计与研究.pdf
09-06
水空两用无人机动力系统设计与研究.pdf
大神asp新闻发布系统毕业课程设计项目+论文
09-06
编号:55 摘要:随着计算机技术的广泛应用,在新闻发布中引入计算机管理技术,成为一个值得深入研究的问题。本系统采用ASP+ACCESS作为开发环境,本文首先概要的论述了ASP的有关知识与现状,之后,对本系统作了系统的描述,在此基础上,对系统的总体框架和数据库进行了设计,然后,对开发一个小型的新闻信息发布管理系统的各个关键模块实现进行了详细说明。 关键词: 新闻发布,新闻管理,asp,access 目 录 第一章 前 言 1 第二章 系统概述 2 2.1 开发背景 2 2.2 可行性分析 2 2.3 需求分析 3 2.4 asp技术概述 3 2.4.1 ASP的特点 3 2.4.2 ASP的工作原理 4 2.4.3 ASP环境的安装与配置 5 2.5 Access 2003 数据库工具概述 5 2.5.1选择Access2003 作为后台数据库 6 2.5.2 ADO开发数据库 6 第三章 总体设计 8 3.1 系统总体功能设计 8 3.2 系统数据库设计 9 3.2.1 超级管理员表(admin表)设计 9 3.2.2 新闻信息表(news表)设计 10 3.2.3 新闻栏目表(
矫正图像带的旋转角度信息和目标检测标签坐标也随之改变.zip
09-06
1 目标检测的定义 目标检测(Object Detection)的任务是找出图像中所有感兴趣的目标(物体),确定它们的类别和位置,是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具有挑战性的问题。 目标检测任务可分为两个关键的子任务,目标定位和目标分类。首先检测图像中目标的位置(目标定位),然后给出每个目标的具体类别(目标分类)。输出结果是一个边界框(称为Bounding-box,一般形式为(x1,y1,x2,y2),表示框的左上角坐标和右下角坐标),一个置信度分数(Confidence Score),表示边界框中是否包含检测对象的概率和各个类别的概率(首先得到类别概率,经过Softmax可得到类别标签)。 1.1 Two stage方法 目前主流的基于深度学习的目标检测算法主要分为两类:Two stage和One stage。Two stage方法将目标检测过程分为两个阶段。第一个阶段是 Region Proposal 生成阶段,主要用于生成潜在的目标候选框(Bounding-box proposals)。这个阶段通常使用卷积神经网络(CNN)从输入图像中提取特征,然后通过一些技巧(如选择性搜索)来生成候选框。第二个阶段是分类和位置精修阶段,将第一个阶段生成的候选框输入到另一个 CNN 中进行分类,并根据分类结果对候选框的位置进行微调。Two stage 方法的优点是准确度较高,缺点是速度相对较慢。 常见Tow stage目标检测算法有:R-CNN系列、SPPNet等。 1.2 One stage方法 One stage方法直接利用模型提取特征值,并利用这些特征值进行目标的分类和定位,不需要生成Region Proposal。这种方法的优点是速度快,因为省略了Region Proposal生成的过程。One stage方法的缺点是准确度相对较低,因为它没有对潜在的目标进行预先筛选。 常见的One stage目标检测算法有:YOLO系列、SSD系列和RetinaNet等。 2 常见名词解释 2.1 NMS(Non-Maximum Suppression) 目标检测模型一般会给出目标的多个预测边界框,对成百上千的预测边界框都进行调整肯定是不可行的,需要对这些结果先进行一个大体的挑选。NMS称为非极大值抑制,作用是从众多预测边界框中挑选出最具代表性的结果,这样可以加快算法效率,其主要流程如下: 设定一个置信度分数阈值,将置信度分数小于阈值的直接过滤掉 将剩下框的置信度分数从大到小排序,选中值最大的框 遍历其余的框,如果和当前框的重叠面积(IOU)大于设定的阈值(一般为0.7),就将框删除(超过设定阈值,认为两个框的里面的物体属于同一个类别) 从未处理的框中继续选一个置信度分数最大的,重复上述过程,直至所有框处理完毕 2.2 IoU(Intersection over Union) 定义了两个边界框的重叠度,当预测边界框和真实边界框差异很小时,或重叠度很大时,表示模型产生的预测边界框很准确。边界框A、B的IOU计算公式为: 2.3 mAP(mean Average Precision) mAP即均值平均精度,是评估目标检测模型效果的最重要指标,这个值介于0到1之间,且越大越好。mAP是AP(Average Precision)的平均值,那么首先需要了解AP的概念。想要了解AP的概念,还要首先了解目标检测中Precision和Recall的概念。 首先我们设置置信度阈值(Confidence Threshold)和IoU阈值(一般设置为0.5,也会衡量0.75以及0.9的mAP值): 当一个预测边界框被认为是True Positive(TP)时,需要同时满足下面三个条件: Confidence Score > Confidence Threshold 预测类别匹配真实值(Ground truth)的类别 预测边界框的IoU大于设定的IoU阈值 不满足条件2或条件3,则认为是False Positive(FP)。当对应同一个真值有多个预测结果时,只有最高置信度分数的预测结果被认为是True Positive,其余被认为是False Positive。 Precision和Recall的概念如下图所示: Precision表示TP与预测边界框数量的比值 Recall表示TP与真实边界框数量的比值 改变不同的置信度阈值,可以获得多组Precision和Recall,Recall放X轴,Precision放Y轴,可以画出一个Precision-Recall曲线,简称P-R
技术方案资料技术方案资料PCB设计高级教程资料.zip
最新发布
09-06
技术方案资料技术方案资料PCB设计高级教程资料.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值