2020小迪培训(第03天 基础入门-搭建安全拓展)

最新推荐文章于 2023-12-18 18:05:43 发布
最新推荐文章于 2023-12-18 18:05:43 发布
阅读量521 收藏
点赞数
分类专栏: 2020小迪培训 文章标签: 中间件 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45889197/article/details/119079466
版权

基础入门-搭建安全拓展

涉及知识
  • 常见搭建平台脚本启用
  • 域名ip目录解析安全问题
    • 请添加图片描述
      请添加图片描述
  • 常见文件后缀解析对应安全
  • 常见安全测试中的安全防护
  • web后门与用户及文件权限
#ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境

#WEB源码中敏感文件
后台路径,数据库配置文件,备份文件

#ip或域名解析web源码目录对应下的存在的安全问题
域名访问,ip访问(结合类似备份文件目录)

域名访问时会指向绝对路径的某个目录(根目录下的某个目录)图片在上面
Ip访问时会指向根目录 www目录

网站一般都是将无脚本(图片目录等)的目录设成不可访问,而不会将根目录设为不可访问,因为一旦这样设置,网站就会出现问题,一般的绕过思想就是把后门放在可访问的目录下,比如根目录

#脚本后缀对应的解析(其他格式可相同-上传安全)
#存在下载或为解析问题

#常见防护中的ip验证,域名验证等

#后门是否给予执行权限
#后门是否给予操作目录或文件权限
#后面是否给予其他用户权限

#总结下关于可能存在的安全或防护问题?
演示案例
  • 基于中间件的简要识别
  • 基于中间件的安全漏洞
  • 基于中间件的靶场使用
涉及资源

https://vulhub.org/

Web中间件常见漏洞总结,vulhub靶场

最后感谢小迪师傅的视频!!

笔记来源视频:点击这里

是阿明呐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
小迪安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1039
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
小迪安全学习笔记】WEB漏洞-必懂知识点
Akrios的博客
05-21 1869
前言:讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,气质针对漏洞的形成原理,如何发现,如何利用。 CTF,SRC,红蓝对抗,实战等 简要说明以上漏洞危害情况 每个漏洞危害情况不同 简要说明以上漏洞等级划分 漏洞危害决定漏洞等级 高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行 影响:直接影响到网站权限和数据库权限,能够获取数据或者网站的敏感文件。涉及到数据安全和权限的丢失都为高危漏洞 中
2020小迪培训(第18WEB 漏洞-WAF 绕过注入)
是阿明呐的博客
08-27 1026
WEB 漏洞-WAF 绕过注入 前言 知识点 市面上常见的 waf 产品列表分析-wafw00f ​ 阿里云盾,安全狗,宝塔 部分 bypass sqlinject payload 原理: ?id= 1 union %23a%0A select 1,2,3 其实是 union #a //写#闭合a,%0A换行让union select执行 select 1,2,3 安全狗匹配到union接着注释,安全狗认为句子结束 为防止安全狗继续读取下去,加上a来干
小迪安全2023年第1培训笔记:Web应用、架构搭建、站库分离、路由访问、配置受限、DNS解析
weixin_38832257的博客
03-07 3983
小迪安全2023年第1培训笔记:Web应用、架构搭建、站库分离、路由访问、配置受限、DNS解析
2020小迪培训(第14 WEB 漏洞-类型及提交注入)
是阿明呐的博客
08-11 739
WEB 漏洞-类型及提交注入 前言 ​ 在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。 简要明确参数类型 数字、字符、搜索、JSON (在实际操作中,我们需要用工具/人工进行多次尝试) 数字:前面教程所演示的SQL注入参数类型都是数字型的,我们在注入的时候不需要进行符号闭合的操作 字符:带有单引号,我们不能再采取数字型的注入方式,不然咱们进行测试的语句也被带进语
03基础入门-搭建安全拓展1
08-03
"第03基础入门-搭建安全拓展1"这个主题主要关注的是在建立和扩展网络基础设施时如何确保安全性。以下是一些关键知识点的详细解释: 1. **常见搭建平台脚本启用**: 在搭建网站时,我们通常会使用各种编程语言...
最新版GTP 小程序,不用后端直接搭建搭建上就可以用
04-22
未来,GTP可能进一步完善其功能,增加更多的模板选择,提升用户体验,并且与更多第三方服务进行集成,以满足更广泛的开发需求。 综上所述,GTP小程序以其无后端、快速搭建的特性,为小程序开发带来新的可能。无论是...
轻松入门ASP.NET教程
09-11
第三:Web Forms基础 - 控件:服务器控件和HTML控件 - 数据绑定:DataSource控件与数据绑定表达式 - 事件处理:事件触发和事件处理程序 第四:ASP.NET MVC基础 - MVC模式介绍:模型、视图、控制器 - 创建第一个...
android开发入门与实战(下)
01-19
第14章 Android综合案例三——基于Android的豆瓣网(Web2.0)移动客户端开发 14.1 关于豆瓣网和豆瓣网API 14.1.1 豆瓣网介绍 14.1.2 豆瓣网API介绍 14.1.3 豆瓣网API认证 14.1.4 豆瓣网API快速入门 14.1.5 豆瓣网API...
android开发入门与实战(上)
01-19
第14章 Android综合案例三——基于Android的豆瓣网(Web2.0)移动客户端开发 14.1 关于豆瓣网和豆瓣网API 14.1.1 豆瓣网介绍 14.1.2 豆瓣网API介绍 14.1.3 豆瓣网API认证 14.1.4 豆瓣网API快速入门 14.1.5 豆瓣网API...
小迪网络安全课件.txt
07-29
自己找的小迪网安课件,跟逆风微笑的代码狗上传的视频相配套,有需要的可以下载。
小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防31-34 -文件上传)
最新发布
qq_46343633的博客
12-18 5065
1、文件上传-前端验证2、文件上传-黑白名单3、文件上传user.in妙用4、文件上传-PHP语言特性#详细点:1、检测层面:前端,后端等2、检测内容:文件头,完整性,二次渲染等3、检测后缀:黑名单,白名单,MME检测等4、绕过技巧:多后缀解析,截断,中间件特性,条件竟争等#本章课程内容:1、文件上传-CTF赛题知识点2、文件上传中间件解析&编辑器安全3、文件上传-实例CMS文件上传安全分析。
2021-09-06
qq_2604939074的博客
09-06 308
基础入门-数据包拓展 HTTP/HTTPS 具体区别?(Https更加安全) Request 请求数据包数据格式 1.请求行:请求类型/请求资源路径、协议的版本和类型 2.请求头:一些键值对,浏览器与web 服务器之间都可以发送,特定的某种含义 3.空行:请求头与请求体之间用一个空行隔开; 4.请求体:要发送的数据(一般post 提交会使用);例:user=123&pass=123 请求行:请求行由三个标记组成:请求方法、请求URL 和HTTP 版本,它们用空格分享。 例如:GET /in
2020小迪培训(第17 WEB 漏洞-二次,加解密,DNS,堆叠注入)
是阿明呐的博客
08-24 1325
WEB 漏洞-二次,加解密,DNS, 堆叠等注入 前言 加解密,二次,DNSlog 注入,堆叠查询注入 注入原理,演示案例,实际应用(中转注入) 演示案例 sqlilabs-less21-cookie&加解密注入(实际案例) 为什么要加密进行注入? ​ 答:代码中对cookee进行base64_decode解码,解码之后带入数据库中。所以我们在注入语句要按照它的加密方式进行加密,然后再提交。 进行抓包,我们可以看到数据包中uname的值是被加密的 把%3D改成=号,Decode as
渗透测试培训--(小迪篇)
qq_54803507的博客
09-24 4770
渗透测试培训
小迪安全03 基础入门搭建安全拓展
qq_46116117的博客
11-20 799
03 基础入门搭建安全拓展 涉及知识: 常见搭建平台脚本启用 ​ ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境 域名 IP 目录解析安全问题 ​ WEB 源码中敏感文件 ​ 后台路径,数据库配置文件,备份文件等 ​ IP 或域名解析 WEB 源码目录对应下的存在的安全问题 ​ 域名访问,IP 访问 (结合类似备份文件目录) ​ IP访问为域名的上级目录 ​ IP访问为根目录,域名访问为根目录下的站点目录 常见文件后缀解析对应安全 ​ 脚本后缀对应解析(其他格式可相同-上传安全
小迪安全培训2023期笔记汇总-持续更新
热门推荐
今天是几号的博客
03-03 1万+
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
2020小迪培训(第08 信息收集-架构,搭建,WAF等)
是阿明呐的博客
07-28 615
信息收集-架构,搭建,WAF等 ​ 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路就是从信息收集这里开始,你与大牛的差距也是从这里开始的! 申明:涉及的网络真实目标只做技术分析,不做非法操作! CMS 识别技术 在之前课程提起过,详情请查看之前课程,这里不再说明 源码获取技术 在之前课程提起过,详情请查看之前课程,这里不再说明 架构信息获取 在之前课程提起过,详
2020小迪培训(第10 信息收集-资产监控拓展
是阿明呐的博客
08-01 2484
信息收集-资产监控拓展 Github 监控 便于收集整理最新 exp 或 poc 便于发现相关测试目标的资产 如何使用(为什么用这个技术?一是官方的ctms是需要收费的,我们可以通过监控github来找到类似的源码,二是在github官网上有着最新的检测漏洞报告) 首先将下面的内部接口放在 PyCharm中,安装所对应的脚本所需的库,即import后面的东西 接着在github注册、在https://sct.ftqq.com/ 微信登录后获取SendKey,在脚本中进行更改
MATLAB基础入门-PPT幻灯片.ppt
11-20
MATLAB基础入门课程是学习MATLAB的第一步,通过系统的学习和实践,学习者能够掌握MATLAB的基本操作和功能,为进一步深入学习奠定基础。MATLAB统计工具箱与蒙特卡罗仿真课程将帮助学习者应用MATLAB进行数据分析和蒙特...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值