安全测试笔记-敏感信息收集

最新推荐文章于 2023-07-06 17:07:34 发布
最新推荐文章于 2023-07-06 17:07:34 发布
阅读量348 收藏
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010680986/article/details/116539538
版权

针对安全很好的目标,可以通过关联信息,如数据库文件、SQL注入、服务器配置信息、Git、redis等去进行渗透测试。

1. google hack:利用谷歌等搜索引擎对某些特定网络主机漏洞进行搜索,以快速找到漏洞主机。

https://www.exploit-db.com/google-hacking-database

2.HTTP响应获取站点信息

通过HTTP或HTTPS与目标站点通信,响应报文中server头和X-Powered-By头或暴露目标服务器和编程语言信息

1)利用代理截断工具:如F12或burpsuite

如F12在headers中看到server信息

2)python脚本 requests库:支持基本的get请求,如下图

放一下学习链接:

https://www.bilibili.com/video/BV1j54y1Q7N2?p=5

6321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
敏感信息收集
weixin_41970600的博客
03-10 1210
1、针对某些安全做的很好的目标,直接通过技术层面是无法完成渗透测试。在这种利用搜索引擎 搜索目标暴露在互联网上的关联信息。例如:数据库文件、SQL注入、服务器配置信息、甚至 是通过Git找到站点泄露源代码、以及Redis等未授权访问、robots.txt等敏感信息。从而达到渗透测试目的。 2、Google hack语法 关键字 含义 site 指定搜索域名 例如:site:b...
Web安全学习笔记-Web-Sec Documentation
01-30
文档教导读者如何通过网络入口、域名信息、端口扫描和站点分析等方法来收集目标系统的初步情报,为后续的渗透测试或安全评估做准备。 总的来说,这份Web-Sec Documentation是一份全面的Web安全指南,不仅包含了网络...
安全测试-敏感信息
天道酬勤
05-06 840
临时产生的敏感数据(写入内存或文件),应具有及时清除和释放机制 不要在HTTP GET请求参数中包含敏感信息,如用户名、密码、卡号、ID等 禁止表单中的自动填充功能,因为表单中可能包含敏感信息,包括身份验证信息 不要在客户端上以明文形式保存密码或其他敏感信息 为所有敏感信息采用SSL加密传输 禁止将敏感信息(包含加密秘钥等)硬编码在程序中 禁止明文存储用户的密码、身份证号、银行卡号、持卡人姓名等敏感信息 不要在日志中保存敏感信息,包含但不限于系统详细信息、会话标识符、密码等 禁止在异常中泄露应用服务器的..
冰河的渗透实战笔记-冰河.pdf
05-18
冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
Web安全学习笔记-实战
04-27
Web安全学习笔记
Web安全学习笔记-lyle
04-27
Web安全学习笔记
接口测试工具-postman使用笔记
02-02
在界面右边可以设置请求接口的请求方法、地址、参数,设置好后点击「send」按钮,发送请求,在右下方可以看到接口返回的信息。2.2.1设置环境变量点击右侧的设置按钮--->在manageenvironments窗口添加环境变量---&...
03、收集敏感信息
qq_42053222的博客
04-14 447
(1)搜索JAWS/1.1摄像头。我们尝试搜索一些学校网站的后台,语法为site:“edu.cn” intext:“后台管理”, 意思是搜索网页正文中含有“后台管理”并且域名后缀是edu.cn的网站,搜索结果如图所示。除此之外,也可以尝试在GitHub 上寻找相关敏感信息,如数据库连接信息、邮箱密码、uc-key 、阿里的osskey,有时还可以找到泄露的源代码等。此处提到的敏感信息主要包括:数据库文件、SQL注入、配置信息(server及PHP版本等)、源代码泄露、未授权访问和robots.txt等。
敏感信息收集笔记
weixin_45378289的博客
07-11 528
1.敏感信息收集的重要性 针对某些安全做的很好的目标,直接通过技术层面是无法完成渗透测试。在这种情况下,可以利用搜索引擎搜索目标暴露在互联网上的关联信息。例如:数据库文件、sql注入、服务器配置信息、甚至是通过Git找到站点泄露源代码、以及Redis等未授权访问、robots.txt等敏感信息。从而达到渗透测试的目的。 知己知彼,百战不殆。某些情况下,收集到的信息会对后期进行测试起到重要作用。如果通过收集敏感信息直接获得了目标系统的数据库访问权限,那么渗透测试任务也就结束一大半了。因此在技术层面情况下的测试
渗透测试之敏感信息收集
weixin_68057794的博客
09-09 1846
渗透测试之敏感信息收集
信息收集之2敏感信息
ISNS的博客
12-08 983
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ Google和火狐这两款浏览器是非常适合渗透测试者的,因为它们有很多插件,简直就是非常好的黑客工具,具体的在这先不细讲,我们先说怎样来构造特殊的关键字语法来搜索互联网上的相关敏感信息。 常用语法及其说明 关键字 说明 site 指定域名 inurl URL中存在关键字的网页 ...
移动安全-Android APP敏感信息测试
道阻且长,行则将至。
01-24 2951
文章目录移动金融APP备案Android APP数据存储sdcard 文件SQLite数据库ContentProvidersharedPreferencesAPK客户端敏感信息测试Logcat 运行日志SQLite 数据库sharedPreferences其他本地文件的检查Genymotion模拟器补充 移动金融APP备案 最近在接触新的工作项目——移动金融APP备案,需要对金融 APP 客户端进行安全测试,在此总结记录下相关的部分测试内容和方法。 关于移动金融APP备案, Part1:首先看中国互联网金
最新敏感信息和目录收集技术
Ms08067安全实验室
07-06 474
点击星标,即时接收最新推文本文部分节选于《web安全攻防渗透测试实战指南(第二版)》,即将上架,敬请期待。敏感信息和目录收集目标域名可能存在较多的敏感目录和文件,这些敏感信息很可能存在目录穿越漏洞、文件上传漏洞,攻击者能通过这些漏洞直接下载网站源码。搜集这些信息对之后的渗透环节有帮助。通常,扫描检测方法有手动搜寻和自动工具查找两种方式,读者可以根据使用效果灵活决定使用哪种方式或两种方式都使用。1...
安全测试
qq_43358922的博客
05-13 2608
安全测试主要涉及以下内容: 1、认证与授权 授权:在网站中不同的角色有不同的权限。 认证:一些网页访问需要输入密码进行登录认证。 在认证与授权中要尽可能避免出现漏洞,否则将被不法分子有意地进行利用。 2、Session与Cookie Session在网络应用中称为“会话控制”,是保存在服务器端的数据或者文件; cookie是保存在客户端电脑上的文件; cookie很容易通过某种手段获取到我们的权限以及一些隐私信息;session ID是唯一的标记,一旦别人通过cookie欺骗等手段获取了se
敏感信息采集-前后端处理
08-31 435
项目的开发接近最后的2个月,前几天有个需求需要采集敏感信息,企业和个人的一些信息,为了保护数据安全。我们前后端分别做了处理,本来老大打算只对value进行加密,但是那样的话,就需要一行行代码去加解密,太麻烦了,于是我就提了提建议,前台封装成对象去加密,后台直接转处理。 我:“老大,这...
史上最全面的敏感信息收集方案
大河之犬的博客
03-17 2193
实际过程中,我们可以尽可能的把收集到疑似网络管理员、运维人员、安全部门的人员提取出来,这些人单独写邮件或者不发,因为这些人安全意识相对较高,容易打草惊蛇,我们需要对一些非技术员工安全意识薄弱的人下手,挑软柿子捏。如果我们在信息收集或者测试的过程中,发现一些私人邮箱或者手机号等,那么就可以去SGK查一下,因为这个账号可能是开发人员的账号,通过账号和查到的一些敏感信息,可能就登录到系统中了。wayback会记录网站版本更迭,可以获取到之前版本的网站,可能会找到一些后来删除的敏感资产信息,或者一些漏洞。
ARM笔记-----输出比较
最新发布
03-31
ARM笔记是一种基于ARM架构的便携式电子设备,主要用于记录和存储文字、图像、音频等信息。它具有以下特点: 1. 轻便便携:ARM笔记通常采用轻薄的设计,重量较轻,易于携带。用户可以随时随地使用它进行记录和查阅。 2. 高清显示:ARM笔记通常配备高分辨率的显示屏,能够呈现清晰细腻的文字和图像,提供良好的阅读体验。 3. 触控操作:ARM笔记支持触摸屏操作,用户可以通过手指或者专用笔进行书写、绘画等操作,使得记录更加直观和便捷。 4. 多功能应用:ARM笔记内置了各种应用程序,如文本编辑器、绘图工具、音频播放器等,用户可以根据需求选择合适的应用进行使用。 5. 长久续航:ARM笔记通常采用低功耗设计,电池寿命较长,可以满足用户长时间使用的需求。 6. 数据同步:ARM笔记通常支持与其他设备的数据同步,用户可以将记录的内容通过云服务或者数据线与其他设备进行同步和备份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值