小迪安全系列笔记---01基础名词整理

最新推荐文章于 2024-03-09 22:38:37 发布
最新推荐文章于 2024-03-09 22:38:37 发布
阅读量1.4k 收藏 4
点赞数 2
分类专栏: XDSec 文章标签: 安全 web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51143604/article/details/124637027
版权

XDSec—01基础名词整理

学习B站小迪安全视频的笔记总结

一、域名和IP

  1. 域名
    1. 注册:万网
    2. 二级域名:主机名+一级域名
  2. DNS:
    1. 域名系统,互联网上的一个服务器,用于域名到IP地址的解析
    2. 本地hosts文件:本地机器解析域名时,先找hosts文件
    3. DNS劫持:解析域名时导向错误的IP地址,导致用户进入伪造的网站,从而导致安全事故
  3. CDN:
    1. 内容分发网络
    2. 即在网络各处放置节点服务器,用户访问时,为了保证快速,会就近选择一个节点服务器
    3. CDN会隐藏web服务器的真实IP地址
    4. 使用ping工具,如果解析到较多的Ip地址,则一般就是存在CDN

二、脚本语言

  1. 常见脚本语言:
    1. php
    2. asp
    3. jsp
    4. aspx
    5. 不同的脚本语言产生的漏洞不同
    6. 代码审计
  2. 后门
    1. 网页后门:在网站文件内构造自己的连接方式
    2. C/S后门:
    3. 后门是为了方便下次进来,相当于一个管道
    4. 后门要免杀

三、web组成框架

  1. 组成:网站源码、OS、中间件、数据库
  2. 中间件:
    1. apache
    2. engix
    3. tomcat
    4. iis
  3. OS
    1. windows
    2. linux
  4. 数据库
    1. mysql
    2. sql server
  5. 为什么以web为渗透开始:
    1. web使用广泛,且漏洞较多
    2. web一般对外开放,容易攻击
    3. 从web打入,一步一步深入内网
  6. web漏洞
    1. 针对web的四大组成,都有对应的漏洞

ps:使用layer工具进行子域名探测

  1. 有时候主站没有太多信息,或者不好 打
  2. 这个时候可以多收集网站资产,尝试从旁站入手
带上她的眼睛a
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小迪安全学习笔记基础入门-搭建安全拓展
Akrios的博客
05-13 1026
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
2021小迪web安全笔记全套.zip
08-16
安全圈子知名讲师 小迪 2021最新教学的课堂笔记 教程还是挺不错的,很好入门。教程也比较新,有新的waf绕过方法以及代码审计,还有新的工具和渗透思维。
[BT]小迪安全2023学习笔记(第21天:Web攻防-JWT)
最新发布
Bluetuan的博客
03-09 407
JWT是一种紧凑且自包含的方式,用于在网络上安全地传输信息作为JSON对象。这些信息可以被验证和信任,因为它们是数字签名的。这个示例可以分为三个部分,由两个点(: 描述JWT的元数据,比如使用的算法(例如:HS256)。: 包含所要传递的数据,它可以包含多个预定义的声明或我们添加的自定义声明。: 通过将前两部分的编码字符串用密钥进行签名生成,以验证消息的发送者和确保消息在传输过程中未被篡改。
小迪安全学习笔记
m0_73148547的博客
03-10 1615
小迪安全课程的笔记
小迪安全系列笔记---08-10信息收集(信息搜集的详细总结,前十节课的总结)
weixin_51143604的博客
05-11 1876
XDSec—08-10信息收集 在写这篇博客之前,我一直在整理信息收集的一些方法论,但都感觉信息收集可为是一门玄学,内容大而广,收集的内容也可以多种多样,本文只是简单的总结一下小迪安全课程的知识点,以及本人整理的一些网上的信息收集方法;具体的信息收集方式,每个人都要有自己拿手的一套技术栈; 总之,渗透的本质是信息收集,信息收集的内容全面与否,决定着攻击的成功与否. 【本文只提供信息收集的大致思路,对于工具的使用请自行了解,一些内容会后期补充】 文章目录XDSec---08-10信息收集一、确定目标二
小迪安全笔记
ANYOUZHEN的博客
03-14 6312
1.后门 黑客留下的一个方便下次进入的网址 2.脚本语言主流php java python 3.常见漏洞 上传 代码执行 sql注入 变量覆盖 逻辑漏洞 反序列化 xss
小迪基础渗透笔记0-24天
05-18
小迪基础渗透笔记0-24天
2020-V6-小迪安全讲义和相关笔记.zip
08-24
2020.V6小迪安全讲义和相关笔记
C语言学习笔记-详细而全面的基础教程.pdf
11-16
C语言学习笔记-详细而全面的基础教程.pdf
小迪安全笔记,详细版本
01-23
小迪安全笔记,详细版本,巨细无比
小迪安全】完整详细笔记01-39天
热门推荐
m0_74169008的博客
06-07 2万+
凡是存在文件上传的地方均有可能存在文件上传漏洞,有文件上传就可以测试漏洞;指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传漏洞的时候看对方的代码是否写的比较完整、安全,疏忽了验证就会造成文件上传漏洞;有文件上传的功能就可以去测试;
小迪安全笔记day1
m0_61967111的博客
07-17 845
浅记一下我的网络安全学习历程
小迪安全学习笔记--第1天:基础概念---名词
zr1213159840的博客
10-11 665
基础入门-概念名词 域名 什么是域名 可以简单的理解为我们平常使用的网址,具体可以参考:https://baike.baidu.com/item/%E5%9F%9F%E5%90%8D/86062?fr=aladdin 域名在哪里注册 国内像万网,新网都可以注册域名,可以在上面提及的网站上面进行查询以及进行注册 什么是二级域名以及多级域名 https://www.xinnet.com/xinnews/domain/27374.html 域名发现对于安全的意义 对于域名的信息进行收集,可以获得旁站相关的信息,主
小迪安全学习笔记基础入门-概念名词
Akrios的博客
05-06 1295
域名 什么是域名? 地址的名称称为域名,例:www.baidu.com 域名在哪里注册? 第三方网址注册,例:万网(www.net.cn) 什么是二级域名、多级域名? 从右到左:根域名、顶级域名、二级域名、三级域名 news.baidu.com、shehui.news.baidu.com 域名发现对于安全测试意义? 当主站域名无法找到漏洞的时候,从多级域名寻找突破口 DNS 什么是DNS? 域名系统服务协议,主要用于域名与IP地址的相互转换 本地Hosts与DNS的关系? 重定向IP地址,网站在解析IP地址
小迪安全学习笔记基础入门-系统及数据库等
Akrios的博客
05-18 759
前言:除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取。 操作系统层面 识别操作系统常见方法 通过网站或通过扫描相关软件识别 大小写对网页都没有影响,这种情况就可以认定为windows服务器,因为windows服务器不区分大小写 这个网站对应的操作系统是linux服务器 也可以用TTL来判断服务器系统,相邻的值来判断 ip地址可用nmap来判断操作系统 nmap -O IP 简要两者区
B站小迪安全学习笔记第11天-WEB漏洞必懂知识点讲解
m0_61530426的博客
07-18 905
B站小迪安全笔记
小迪安全课程笔记--01基础入门
weixin_44576725的博客
10-18 1207
一、web源码拓展 1、各类型文件的存放位置 数据库配置文件一般放在include、config或者data文件夹下 后台目录即管理员目录一般在admin文件夹下 模板目录一般在template文件夹下 2、在线CMS指纹识别 CMS是"Content Management System"的缩写,意为"内容管理系统" Web指纹扫描用于识别目标所运行的web软件、后端服务器、编程语言等特征,实现对目标的web应用的准确标识,包括应用名称(版本)、服务器软件(版本)、编程语言(版本)、应用框架(版
web漏洞“小迪安全课堂笔记”XSS
weixin_42902126的博客
03-25 1441
小迪安全课堂笔记——XSS跨站脚本攻击思维导图XSS跨站漏洞产生原理,危害,特点?XSS跨站漏洞分类:反射(非持续型),存储(持续型),DOM反射型存储型DOM型XSS 常规攻击手法平台工具cookie sessioncookie盗取成功条件session获取XSS适用环境绕过httponlyWAF拦截 思维导图 XSS跨站漏洞产生原理,危害,特点? XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击
python开发“小迪安全课堂笔记
weixin_42902126的博客
05-10 1743
python开发Python 开发相关知识点:基础环境安装Python 开发-内外网收集 Socket&子域名&DNS演示案例涉及资源:Python 开发-批量 Fofa&SRC 提取&POC 验证Python 开发-某漏洞 POC 验证批量脚本Python 开发-Fofa 搜索结果提取采集脚本Python 开发-教育 SRC 报告平台信息提取脚本涉及资源:Python 开发-多线程 Fuzz&Waf 异或免杀&爆破案例 1-Python 开发-简单多线程技术
小迪安全2020v6笔记
10-05
小迪安全2020v6笔记是一款以网络安全为主题的笔记软件。该软件在2020年进行了升级,版本为v6。 小迪安全2020v6笔记通过提供强大的加密功能,保护用户的笔记内容不被他人访问。用户可以创建多个笔记本,并在每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值