web网络安全——网站入侵(二)

最新推荐文章于 2024-05-10 21:45:00 发布
最新推荐文章于 2024-05-10 21:45:00 发布
阅读量8.7k 收藏 21
点赞数 5
分类专栏: web网络渗透 文章标签: 网络安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012902917/article/details/53791713
版权

成功例子分析(主要介绍非技术渗透步骤):

某学院(难度很小的一类学校)
http://XX.XX.XX.XX/
1) 查看网站框架:chrome F12抓包分析:根据抓包Header中会有一部分网站信息,
网站框架:VWebServer/6.0.0 Apache Tomcat/6.0.29 6.0.43(后续查看网页源代码,报错页面显示信息)
2) 查看网页源代码:
注释:CustomerNO:7765626265723230747647545253574203060000
文字采用UTF-8方式进行Base64编码
异常链接:
http://XX.XX.XX.XX:6611/web/web/web/a_index.asp 教务在线登陆 爆出端口号6611
http://XX.XX.XX.XX:9922/yx/orientation/guest/login.action 迎新系统
基本信息页面 http://XX.XX.XX.XX/info/1046/11570.htm 猜测是静态html???
http:

最低0.47元/天 解锁文章
清渠如许muse
关注
  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
vWebServer-开源
07-04
vWebServer 是 windows 平台的 HTTP 服务器
201521123055 《Java程序设计》第13周学习总结
weixin_30314793的博客
05-21 129
1. 本章学习总结 2. 书面作业 1. 网络基础 1.1 比较ping www.baidu.com与ping cec.jmu.edu.cn,分析返回结果有何不同?为什么会有这样的不同? 1.2 telnet bbs.newsmth.net,上面这条命令连接的是远程主机的什么端口号? 1.3 telnet cec.jmu.edu.cn 80,尝试回答:你从屏幕看到一些什么内容?返回的内容是不是c...
如何正确的进行网站入侵渗透测试
最新发布
2401_84466361的博客
05-10 1083
大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、级域名、防火墙、维护者信息有哪些等等1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。
VMware vSphere 6.0 升级已知问题
热门推荐
mooncarp的专栏
03-18 3万+
官方链接 已知问题 已知问题分为如下类别。 安装问题 升级问题 许可问题 vCenter Single Sign-On 和证书管理问题 网络连接问题 存储问题 服务器配置问题 vCenter Server、vSphere Web Client 和 vSphere Client 问题 虚拟机管理问题 VMware HA 和 Fault
Web渗透测试基本流程
yz_weixiao的博客
12-30 1529
对于web应用的渗透测试,大致可分为三个阶段:信息收集、漏洞发现以及漏洞利用。
有手就行:零基础渗透网站步骤
jklbnm12的博客
07-03 2万+
前言:渗透技巧小总结,希望大家喜欢! 渗透技巧 1.拿到一个网站后,先进行扫描,对网站全局进行爬行。 2.某些cms的网站设置过滤不严,直接在网站后面加上admin/session.asp 或 admin/left.asp 可直接进入后台 3.入侵网站之前连接下3389,可以连接上的话先尝试弱口令,不行就按5次shift键,看看有没有shift后门 4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选–查看即可直接进入后台。 5.:jav.
Serv-U v6.0 本地权限提升漏洞
weixin_33686714的博客
11-08 1379
受影响系统]:Serv-UFTPServer6.0Serv-UFTPServer5.1.0.0Serv-UFTPServer5.0.0.9Serv-UFTPServer5.0.0.4Serv-UFTPServer5.0Serv-UFTPServer4.1.0.3Serv-UFTPServer4.1.0.11Ser...
安全建设——WEB系统的安全建设方案
02-24
在构建Web系统的安全建设方案时,首要目标是保护系统免受网络攻击、入侵、干扰、破坏和非法使用,确保系统的稳定性、...在实际操作中,应根据系统等级持续监控、评估和更新安全策略,以适应不断变化的网络安全环境。
Web入侵安全测试与对策
04-09
Web入侵安全测试与对策》一书深入探讨了网络安全领域中的关键话题——Web安全,它不仅阐述了Web安全的基础概念,还提供了针对Web入侵的防范策略。在数字化日益普及的今天,Web应用已经成为日常生活和商业活动中不...
网络技术——网络安全实习报告
01-05
网络安全实习报告涵盖了多个关键领域的实践操作,旨在提升对网络安全的理解和应对能力。以下是对各部分内容的详细解释: 1. **Windows 下 Snort 的安装与配置**:Snort 是一款开源的网络入侵检测系统(IDS),它能...
网络流量数据集——Moore
03-28
1. **网络流量识别**:通过训练机器学习模型,可以识别出不同类型的服务流量,如Web浏览、文件传输等,对于网络安全监控至关重要。 2. **入侵检测系统(IDS)开发**:数据集中的异常流量模式可被用于训练和测试IDS,...
常见网络安全设备简介.pptx
06-08
可以快速地应对恶意攻击者对Web业务带来的冲击,让网站免遭Web攻击侵扰并对网站代码进行合理加固 常见网络安全设备简介全文共30页,当前为第11页。 常见应用安全产品——web应用防火墙(WAF) 路由器 核心交换机 接...
Web渗透入侵流程思路
2301_76161259的博客
03-27 690
什么是web渗透入侵呢?渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。下面就来一起学习分享一下web入侵渗透流程中的思路,首先献出一张宝贵的图,这张图上写的就是入侵流程,比较不错,所以拿出来分享一下。咱们先总览一下整个流程。大家现在看到的这图左上部分,首先第一部分就是信息收集,有了信息才能开展下一步。首先要进行的就是信息收集,第一个必须要会用的就是whois。
java-爬虫1
qq_40301475的博客
03-18 501
网络爬虫 网络爬虫(Web crawler),是一种按照一定的规则,自动的抓取万维网信息的程序或者脚本。 1. 爬虫概述 1.1 爬虫介绍 在大数据时代,信息的采集是一项重要的工作,而互联网中的数据是海量的,如果单纯靠人力进行信息采集,不仅低效繁琐,搜集的成本也会提高。如何自动高效地获取互联网中我们感兴趣的信息并为我们所用是一个重要的问题,而爬虫技术就是为了解决这些问题而生的。 网络爬虫(Web crawler)也叫做网络机器人,可以代替人们自动地在互联网中进行数据信息的采集与整理。它是一种按照一定的规则,
Web渗透之常见的网站攻击方式
m0_56632799的博客
12-30 1019
Web渗透之常见的网站攻击方式
web渗透测试在线网站
rulerer的博客
06-21 2万+
国外1、bWAPP免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。地址:http://www.itsecgames.com/2、Damn Vulnerable iOS App (DVIA)DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。APP涵盖了所有常见的iOS安全漏洞,它免费并开放源码,漏洞测试和解决...
Web网站渗透
Home to come
06-18 1364
1.无论bai什么站,无论什么语言,我要渗透,第du一件事就是扫目录,最好一下扫出zhi个上传点,直接上传shell,诸dao位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多! 2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就猜数据,从后台下手了,后台可以上传或者改配置文件; 3.asp(aspx)+ACCESS拿shell一般只有3种方法,一是前台上传或者注入
渗透测试技术----常见web漏洞--跨站脚本攻击原理及防御
wwl012345的博客
08-16 3167
一、跨站脚本攻击介绍 1.跨站脚本攻击简介 跨站脚本攻击(Cross-Site Scripting)简称为XSS(本来为CSS,但是与前端语言CSS容易产生歧义,故取名为XSS),XSS是一种针对于网站应用程序(Web客户端)的安全漏洞攻击技术,是代码注入的一种,它允许攻击者将恶意JS代码注入到网页,这样其他用户在访问网页时就会受到影响。攻击者利用XSS代码攻击成功后,可能得到一些高权限来执行一...
web渗透-转载
weixin_47798621的博客
11-23 3515
一.Web渗透第一步 网站是一个安装在电脑上的应用程序,它有操作系统、应用程序以及服务器。例如WAMP包括: Web服务器:Apache 数据库:MySQL 编程语言:PHP 网站HTML站点访问的基本流程如下图所示:客户端输入访问URL,DNS服务器会将域名解析成IP地址,接着IP地址访问服务器内容(服务器、数据库、应用程序),最终将内容反馈至客户端的浏览器。 数据库包括要调用的数据,并存储在Web服务器上,这台服务器有真实的IP地址,每个人都能访问、Ping通它。每次页面请求或运行程序时,Web应用程序
Web Service安全(一)——Basic验证
05-20
Web Service 安全是指保护 Web Service 不受恶意攻击和非法访问的一系列措施。其中,Basic 验证是最简单的一种身份验证方式,也是最常用的一种。 Basic 验证的原理是在 HTTP 头部中添加一个 Authorization 字段,该字段包含一个经过编码的用户名和密码。在服务端接收到请求后,会验证该用户名和密码是否正确,如果正确,则允许访问 Web Service,否则拒绝访问。 下面是一个使用 Basic 验证的 Web Service 的示例: ```xml <definitions name="HelloWorld" targetNamespace="http://www.example.org/HelloWorld" xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:tns="http://www.example.org/HelloWorld" xmlns:xsd="http://www.w3.org/2001/XMLSchema"> <types> <xsd:schema targetNamespace="http://www.example.org/HelloWorld"> <xsd:element name="sayHello" type="xsd:string"/> <xsd:element name="sayHelloResponse" type="xsd:string"/> </xsd:schema> </types> <message name="sayHelloRequest"> <part name="name" type="xsd:string"/> </message> <message name="sayHelloResponse"> <part name="greeting" type="xsd:string"/> </message> <portType name="HelloWorld"> <operation name="sayHello"> <input message="tns:sayHelloRequest"/> <output message="tns:sayHelloResponse"/> </operation> </portType> <binding name="HelloWorldSoapBinding" type="tns:HelloWorld"> <soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/> <operation name="sayHello"> <soap:operation soapAction=""/> <input> <soap:header message="tns:sayHelloRequest" part="Authorization" use="required"/> <soap:body use="literal"/> </input> <output> <soap:body use="literal"/> </output> </operation> </binding> <service name="HelloWorld"> <port name="HelloWorldPort" binding="tns:HelloWorldSoapBinding"> <soap:address location="http://localhost:8080/HelloWorld"/> </port> </service> </definitions> ``` 在上面的示例中,我们在 `<binding>` 标签中定义了一个 Authorization 头部,它的 use 属性设置为 required,表示该头部是必须的。这个头部包含了一个经过用户名和密码编码的字符串。 在服务端,我们需要在代码中对该 Authorization 头部进行解码,然后验证用户名和密码是否正确。如果正确,则允许访问 Web Service,否则拒绝访问。下面是一个使用 Java 代码实现的 Basic 验证的示例: ```java public class HelloWorldImpl implements HelloWorld { @Override public String sayHello(String name) { String auth = (String) wsContext.getMessageContext().get(MessageContext.HTTP_REQUEST_HEADERS).get("Authorization").get(0); String[] parts = auth.split(" "); byte[] decoded = Base64.getDecoder().decode(parts[1]); String credentials = new String(decoded); String[] credentialParts = credentials.split(":"); String username = credentialParts[0]; String password = credentialParts[1]; if (username.equals("admin") && password.equals("password")) { return "Hello, " + name + "!"; } else { throw new RuntimeException("Unauthorized access"); } } } ``` 在上面的代码中,我们首先从 MessageContext 中获取 Authorization 头部,然后对该头部进行解码。解码后得到的是一个用户名和密码的字符串,我们再对该字符串进行拆分,得到用户名和密码。最后,我们根据用户名和密码的正确性来决定是否允许访问 Web Service。 需要注意的是,Basic 验证并不是一种安全性很高的身份验证方式。因为它使用明文传输用户名和密码,所以容易被窃取。因此,在实际应用中,我们通常会使用更加安全的身份验证方式,比如 Digest 验证或 SSL/TLS 验证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值