Web安全之信息收集

最新推荐文章于 2024-02-23 10:40:24 发布
最新推荐文章于 2024-02-23 10:40:24 发布
阅读量1.3w 收藏 5
点赞数 1
分类专栏: # Web 安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/106382518
版权
安全学习 同时被 2 个专栏收录
210 篇文章 81 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏

(我相信自己,我热爱生活)

文章目录

Web安全

利用端口扫描

在测试中端口扫描可以让我们发现更多机会,利用工具Nmap
图
像这样配置以后我们可以得到该域名下的端口号,便于我们之后的操作
在这里插入图片描述

基于web目录结构

在后缀名下加上/new,很多网站可能之前是由其他程序搭建的网站,在弃用之后,而之前目录仍然保留,就可能得到一些关键信息,当然这个new之类的是随便取名,我们通常使用一些目录扫描程序如御剑Dirmap等,当其中某个页面和主站不一样我们可能在里面获取到一些获取漏洞的机会
附:Dirmap链接(来自freebuf)

基于web域名结构

Layer子域名挖掘机,不带www.
利用搜索引擎site:

基于服务器系统漏洞

使用工具Nessus,号称是世界上最流行的漏洞扫描程序,通常包括成千上万的最新的漏洞,各种各样的扫描选项,及易于使用的图形界面和有效的报告.
在这里插入图片描述
一般用Advanced scan就够了

基于中间件平台漏洞

可以看一下freebuf页面点我直达

今天就学习到这里,加油鸭!

Y4tacker
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全基础篇
hack0919的博客
04-04 1706
黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
读书笔记之Web安全攻防从入门到精通-信息收集.docx
最新发布
04-13
读书笔记之Web安全攻防从入门到精通-信息收集.docx
web安全是什么?主要分为哪几部分?
bdfcfff77fa的博客
03-23 2369
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
Web渗透信息收集方法汇总
怦然心动丶的博客
03-30 1971
web安全主要包括哪些方面的安全
wholeliubei的博客
02-23 1187
如果你也想学习:黑客&网络安全的SQL攻防web安全主要包括哪些方面的安全web安全主要分为保护服务器及其数据的安全、保护服务器和用户之间传递的信息的安全、保护web应用客户端及其环境安全这三个方面。web安全介绍Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;
Web信息搜集
Sylon的博客
06-14 1883
文件是转载原文https://www.freebuf.com/articles/web/204883.html 如有侵权 请联系 对一个网站挖掘的深浅来说,信息收集是非常的重要的,这篇文章主要分享本人在渗透测试信息收集阶段的一些心得,如有谬误恳请指出。 子域名收集 子域名收集是最简单的收集手法之一,有很多在线的工具可以直接套用,这里分享几个我经常用的。 github开源的子域...
web安全是什么_主要分为哪几部分_
xnxqwzy的博客
11-09 85
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
什么是Web安全
qq_53058639的博客
03-16 431
Web安全主要有如下几大分类XSSCSRF(跨站请求伪造)SQL注入命令行注入DDos注入流量劫持。
web基础-信息收集(超详细完整版)
m0_64297555的博客
07-04 640
渗透测试最重要的就是信息收集。在渗透测试的初期,最常见的是只有一个网站名称或者一个IP地址。进行有效渗透的第一步,就是从已知的网站名称地址中,尽可能多的挖掘出多的信息,提高渗透测试成功率,如果说渗透测试最重要的环节是什么那么就是信息收集,用咱们的话来说就是知己知彼百战不殆!
Web安全渗透测试信息收集篇.rar
08-13
WEB安全信息收集分类介绍wm WEB服务端口扫描技术及结合WmV WEB网站程序CMS系统探针技术Wmv WEB网站二级域名探针技术Wmv WEB网站敏感文件探针技术Wmy WEB网站目录站点探针技术WmV WEB域名DNS解析探针技术wmv WEB城名...
Web安全基础入门+信息收集篇培训视频.rar
11-24
WEB安全信息收集分类介绍wmv WEB服务端口扫描技术及结合wm WEB网站程序CMS系统探针技术wmv WEB网站二级域名探针技术wmv WEB网站敏感文件探针技术wm WEB网站目录站点探针技术wmv WEB域名DNS解析探针技术wmv WEB域名...
Nmap-网络安全信息收集工具
03-27
Nmap-网络安全信息收集工具
教程分享Web安全基础入门
03-17
Web安全基础入门 学习信息收集,针对域名信息,解析信息,网站信息,服务器信息等,主要针对敏感文件,安全漏洞,子域名信息,能独立理解WEB架构框架,树立渗透测试的开展思路!
[CTF]PHP反序列化总结
热门推荐
Y4tacker的博客
02-03 4万+
文章目录PHP反序列化这一篇就够了简介常见的序列化格式案例引入反序列化中常见的魔术方法反序列化绕过小Trickphp7.1+反序列化对类属性不敏感绕过__wakeup(CVE-2016-7124)绕过部分正则利用引用16进制绕过字符的过滤PHP反序列化字符逃逸情况1:过滤后字符变多情况2:过滤后字符变少对象注入POP链的构造利用POP链简单介绍简单案例讲解PHP原生类反序列化利用SoapClient介绍利用方式实战Phar反序列化什么是phar文件phar文件的结构漏洞利用条件受影响的函数绕过方式php-s
靶场环境的搭建(2020年6月15日学习笔记)
Y4tacker的博客
06-15 1万+
文章目录虚拟机的安装phpstudy的安装及基本操作ASP小旋风 虚拟机的安装 太简单了不想写教程,主要步骤为: 安装Vmwarestation->下载镜像文件->配置 Vmwaretools->用于虚拟机于本机交互的工具 phpstudy的安装及基本操作 简单介绍一下,phpstudy集成最新的Apache+ PHP+ MySQL + phpMyAdmin,-次性安装,无须配置即可使用,是非常 方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。 AS
SQL注入之MySQL注入学习笔记(二)
Y4tacker的博客
06-18 1万+
补充:MySQL注释方法 文章目录MySQL注入基本介绍字符型数字型搜索型Cookie注入HTTP头注入具体实例数字型注入一般类型被单引号包裹起来的双引号加小括号包裹两个括号字符型注入搜索型注入Cookie注入HTTP头注入 MySQL注入 基本介绍 字符型 有这几种常见情况,闭合SQL语句,再插入我们需要的sql语句 $sql="SELECT * FROM users WHERE id= '$id'"; 闭合前面的单引号把后面的单引号注释掉跟上sql语句 $sql="SELECT * FROM users
精通脚本黑客读书笔记(一)
Y4tacker的博客
06-19 1万+
算了只写这一次,跟着别人抄没意思浪费时间,也不可能在看 Google Hack 1.intext: 关键字、allintext:关键字 把网页正文中某个关键字做为搜索条件,然后搜索全世界网页正文中含有这些关键字的网页 eg: 搜索网页登陆口,intext:验证码 4800 2.intitle:关键字、allintitle: 关键字 把网页标题中某个关键字做为搜索条件,然后搜索全世界网页标题中含有这些关键字的网页 eg: intitle:后台登陆 3.cache:关键字 搜索含有关键字内容的cache eg:
SSTI模板注入及绕过姿势(基于Python-Jinja2)
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
web安全态势感知开源
09-09
Web安全态势感知开源是一种可以帮助用户监控和分析Web安全威胁的开源软件。它的目标是通过收集、分析和展示大量的网络流量数据,帮助用户识别并及时应对安全事件。 Web安全态势感知开源可以通过多种方式工作。首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值