渗透测试-基础入门-搭建安全拓展_3

最新推荐文章于 2024-08-05 18:08:18 发布
最新推荐文章于 2024-08-05 18:08:18 发布
阅读量337 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51446936/article/details/118254827
版权

一、常见搭建平台脚本启用

ASP,PHP,SPX,JSP,PY,JAVAWEB等环境

平台:IIS为例
在这里插入图片描述

二、域名IP目录解析安全问题

IP地址扫描可以扫到更多内容,可能是程序源码备份文件和敏感信息,扫域名只能发现一个文件夹下的所有文件

IP访问在域名访问的上一级,会扫描到更多,源码备份,打包文件

三、常见文件后缀解析对应安全

存在下载或为解析问题
在这里插入图片描述

四、常见安全测试中的安全防护

是否匿名访问:基于用户的限制
在这里插入图片描述
在这里插入图片描述

是否使用IP和域名访问:设置拒绝访问的IP(白名单、黑名单设置)
在这里插入图片描述
在这里插入图片描述

五、WEB后门与用户及文件权限

• 后门是否给予执行权限
• 后门是否给予操作目录或文件权限
• 后门是否给予其他用户权限
在这里插入图片描述

绕过思路:将后门放到其他可执行的路径

六、案例演示

基于中间件的简要识别

在这里插入图片描述

基于中间件的安全漏洞

参考:https://www.freebuf.com/articles/web/192063.html

基于中间件的靶场使用

靶场:vulhub(链接:https://vulhub.org/)

要努力。。
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020小迪安全第三天笔记-搭建安全拓展
weixin_51566416的博客
12-02 1003
笔记来源视频:【小迪安全】web安全渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili 通过IIS(提供网站服务)搭建网站 首先打开windows2003虚拟机,进入IIS管理 开启“Active Server Pages”开启ASP 支持的脚本组件 Ip地址配置 “主机头值”表域名 但是这个域名并没有进行申请,只是用于测试,所以平时解析会解析到外网上。 要用讲域名指向本地地址,可在本地“host”文件上进行修改 注意:域
第三天:基础入门搭建安全扩展
weixin_45838262的博客
04-03 152
涉及知识 常见搭建平台脚本启用 域名 对应文件夹 IP 对应根目录 目录解析安全问题 常见文件后缀解析对应安全 eg:iis的isapi扩展(应用程序扩展) 常见安全测试中的安全防护 身份验证(计算机用户:匿名访问(来宾用户)) 地址访问,域名访问(限制特定ip域名访问) 黑名单白名单 web后门与用户及文件权限 用户权限(来宾用户等) 文件执行权限 一般针对图片文件夹(没有要执行的脚本) 演示案例 中间件识别:通过数据包返回结果 header -》server 中间件安全漏洞 web中间件常见漏洞总结 中
03基础入门搭建安全拓展
qq_52718293的博客
03-08 345
1.域名IP目录解析安全问题 域名解析访问的是目录,ip访问的是域名解析目录的上级目录,它能扫到更多信息。 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。 2.文件后缀 ...
基础入门-搭建安全扩展
qq_2604939074的博客
09-19 113
基础入门-搭建安全扩展 1, 常见搭建平台脚本启用 可以用域名访问网站,也可以使用ip访问网站,大多数情况下是使用域名访问网站 修改本地host文件,IP地址对应的域名 通过ip地址访问的目录和通过域名访问网站的目录是不一致的 ,ip访问的是上一级,可访问到更多的信息 IP访问的是根目录,域名访问的是根目录下的站点目录 asp(动态服务器页面)ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境,可用来创建动态交互式网页并建立强大的web应用程序。当服务器
3.基础入门-搭建安全拓展
山兔的博客
08-26 162
web中间件常见漏洞总结.pdf 你要知道漏洞有哪些危害,以及怎么利用 app的地址用电脑是打不开的,因为数据包不一样,换成app的数据包就可以了
第03天:基础入门-搭建安全拓展1
08-03
"第03天:基础入门-搭建安全拓展1"这个主题主要关注的是在建立和扩展网络基础设施时如何确保安全性。以下是一些关键知识点的详细解释: 1. **常见搭建平台脚本启用**: 在搭建网站时,我们通常会使用各种编程语言...
信息安全渗透测试-网络安全
04-23
它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和...
安全测试-渗透测试-不安全的http方法问题及解决方案.doc
09-10
### 安全测试与渗透测试中的不安全HTTP方法问题及解决方案 #### 一、问题背景与概述 在现代网络环境中,网络安全已经成为企业和组织关注的重点之一。其中,HTTP协议作为Web应用的基础,其安全性尤为重要。然而,在...
WackoPicko-master.zip_WackoPicko_WackoPicko-master_markseg_安全渗透_
09-22
在网络安全领域,渗透测试是一项至关重要的工作,它可以帮助我们发现并修复系统中的潜在漏洞,确保网络环境的安全。WackoPicko是一款专为安全爱好者和专业人士设计的免费开源渗透测试工具,其目标是提供一个实践和...
WEB安全渗透测试1-Msql基础
07-01
本课程主要为后续学习WEB安全提供铺垫,了解...本课主要讲解MYSQL数据库的建表,对数据表的增删改查以及where,group by ,order by,limit等查询方法的说明,适合于零基础入门及零基础需要学习WEB安全相关内容的人员。
3.搭建安全拓展
博客地址 www.sec0nd.top
07-19 175
文章目录涉及知识:安全问题实战演示搭建IIS文件后缀解析isapi拓展常见防护身份验证、匿名访问ip和域名限制web后门中间件的识别中间件的安全漏洞中间件靶场vulhub 涉及知识: 常见搭建平台脚本启用 域名 IP 目录解析安全问题 常见文件后缀解析对应安全 常见安全测试中的安全防护 WEB 后门与用户及文件权限 安全问题 ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境 WEB 源码中敏感文件 后台路径,数据库配置文件,备份文件等 IP 或域名解析 WEB 源码目录对应下的存在的安全
小迪渗透测试学习笔记(三)基础入门-搭建安全拓展
萧丶的博客
12-14 2309
涉及知识: 常见搭建平台脚本启用 域名IP目录解析安全问题 常见文件后缀解析对应安全 常见安全测试中的安全防护 WEB后门与用户及文件权限 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 WEB源码中敏感文件 后台路径,数据库配置文件,备份文件等 IP或域名解析WEB源码目录对应下的存在的安全问题 域名访问,IP访问(结合类似备份文件目录) 域名访问和IP访问的文件目录级别可能不同,IP访问的可能是域名访问的目录的上一级。 脚本后缀对应解析(其他格式可相同-上传安全) 存在下载或为解析
网安自学笔记——搭建安全拓展
qq_44456233的博客
09-23 139
一、常见的搭建平台脚本启用 1、#ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境。 注:脚本简单地说就是一条条的文字命令,这些文字命令是可以看到的,脚本程序在执行时,是由系统的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行,因为脚本在执行时多了一道翻译的过程,所以它比二进制程序执行效率要稍低一些。 二、域名和ip目录解析安全问题(难点) 1、域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分; 2、IP扫描可以直接扫描出来服务器的根目录,得到的信息
第03天:基础入门-搭建安全拓展
weixin_43909650的博客
02-10 1796
第03天:基础入门-搭建安全拓展 域名IP目录解析安全问题 视频中的图: 本人实验图: 常见文件后缀解析对应安全 常见安全测试中的安全防护 WEB后门与用户及文件权限 演示案例: 基于中间件的简要识别 基于中间件的靶场使用 涉及资源: https://www.vulhub.org/
WEB安全_基础入门_搭建安全拓展 常见搭建平台(中间件)脚本启用
erfan_lang的博客
08-11 666
目录常见搭建平台(中间件)脚本启用一、常见搭建平台脚本启用二、域名IP目录解析安全问题三、常见文件后缀解析对应安全四、常见安全测试中的安全防护1.网和企业内网会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。2.身份验证和访问控制,基于用户的限制3.限制IP地址的访问,授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问五、WEB源码中敏感文件后台路径配置文件备份文件六、web后门与用户及文件权限七、基于中间件的简要识别八、基于中间件的安全漏洞 常见搭建平台(中间件)脚本启用
【小迪安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1047
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
一、web安全入门基础知识
热门推荐
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建
智能输电线路防外破监测装置:监控线行下施工保持安全距离
最新发布
dxzh666的博客
08-05 436
在高压线下施工,需要保持一定的安全距离。这种人性化的设计,不仅提高了工作效率,也体现了对人员安全的深切关怀。值得一提的是,该装置在设计之初就充分考虑到了未来升级与拓展的需求,预留了丰富的接口,用户可以轻松实现与其他安防系统或电力管理系统的联动,如联动吊车近电预警等功能。但是,就算“安全距离”常提醒,也难以避免一些高空车辆触碰导线、挖土挖到塔基位置的行为,以至于因为“外力破坏”招致的输电线路供电隐患常年居高不下。,这一创新的守护神,不仅融合了尖端硬件与智能平台,更在输电线路铁塔之巅织就了一张无形的安全网。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 568
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
EHS信息化管理系统:筑牢企业EHS安全环保的数字防线
云说智数的博客
08-05 1112
EHS信息化管理,简而言之,就是运用现代信息技术手段,对企业在环境保护、职业健康与安全方面的管理活动进行系统化、数字化、网络化的改造与升级。这一过程涉及数据采集、分析、处理、存储及决策支持等多个环节,旨在通过高效的信息流动和智能化的管理工具,实现EHS管理的精细化、实时化和可追溯化。基于 ISO14001和45001规范,聚焦于工厂重大环境因素、安全风险防范、职业健康安全的改进,从环境保护、消防管理、安全管理、职卫管理、大数据平台这5个功能模块,帮助企业实现安全健康的数字化管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值