2020小迪安全第八天笔记-(信息收集)架构,搭建,WAF 等

最新推荐文章于 2024-08-15 11:30:00 发布
最新推荐文章于 2024-08-15 11:30:00 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 2020小迪安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51566416/article/details/121727240
版权
本文介绍了渗透测试中信息收集的重要性,包括站点搭建的习惯(目录型、端口类、子域名、类似域名和旁注站点)、搜索引擎关键字搜索技巧以及WAF防护的分析。通过了解这些,可以帮助安全测试人员更好地识别和利用潜在漏洞。
摘要由CSDN通过智能技术生成

目录

信息收集-架构,搭建,WAF 等

信息收集思路图:

搜索引擎关键字搜索技巧:

站点搭建

#WAF 防护分析

演示案例:

涉及资源

笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​

信息收集-架构,搭建,WAF 等

在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响 到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定 着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路 就是从信息收集这里开始,你与大牛的差距也是从这里开始的!

信息收集思路图:

搜索引擎关键字搜索技巧:

一般搜索引擎关键字搜索语法也能对信息搜集起到一定的作用

#CMS 识别技术 #源码获取技术 #架构信息获取

站点搭建

  • 搭建习惯-目录型站点

站点对应服务器上的某个文件夹(翻前面笔记有)

  • 搭建习惯-端口类站点

同一网址不同端口,其中一个网站出现安全问题,另一个网站也会出现安全问题。至于端口&

最低0.47元/天 解锁文章
ZoloHuang
关注
专栏目录
B站小迪安全第八天信息搜集-架构搭建waf
m0_61530426的博客
07-15 639
B站小迪安全笔记
2020上半年第1天(基础入门))小迪网络安全笔记
u013630181的博客
06-09 4627
2020上半年第2天)小迪网络安全笔记
小迪安全2023】第61天-服务攻防-中间件安全&CVE复现&K8s&Docker&uetty&Websphere
最新发布
xnxqwzy的博客
08-15 1168
kubernetes简称k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。
2020上半年第3天)小迪网络安全笔记(操作③)Nslookup检测
u013630181的博客
06-12 905
第一个实验:Nslookup检测: 看图片就可以了 无cdn的: 有cdn: 第二个实验:测试网址:www.xuexila.com 这里说的get检测就是 进入https://get-site-ip.com/进行检测 概要:这个网址国内用了cdn国外没有cdn,但是超级ping和get的检测国外结果ip不同,但这两个ip在同网段,最直接的方法挂vpn 第一步:使用超级ping 国内: 国外: 大家会发现这个网站国内使用了cdn而国外没用cdn这个就简单多了,意思就是国外显示的是真实服务器ip
小迪安全学习笔记信息收集-架构-搭建-waf
qq_45951598的博客
06-19 426
cms识别技术
小迪安全学习笔记--第8/9/10天:信息收集合集
zr1213159840的博客
10-26 2463
课程链接 第七到十都是信息收集 信息收集 架构搭建WAF CDN有无为标准 首先关注的是源码信息:是否是开源的CMS。接着是对方的操作系统,搭建的平台,数据库的类型 接着是站点的搭建:目录站点,端口站点,子域名站点,旁站,C段,类似域名站点 最后是防护的应用:安全够,宝塔,云盾,安骑士等等 假如看到的是APP怎么办? 首先考虑的还是web角度,查找web相关的页面。如果不是web协议的,就需要使用一些工具去提取web页面。如果还是不行的话,就需要进行反编译和逆向了。 CMS识别技术 之前的课中已经有了
小迪网络安全笔记》 第八节:信息收集-架构搭建waf
小陈的博客
08-05 1257
前言 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路就是从信息收集这里开始,你与大牛的差距也是从这里开始的! #申明:涉及的网络真实目标只做技术分析,不做非法操作! 一、CMS识别技术 二、源码获取技术 三、架构信息获取 四、站点搭建分析(重点) 1、搭建习惯-目录型站点 通过目录层级将两个网站分开 2、搭建习惯-端口类站点 通过不同的端口将两个网站分开
网络安全最新网络安全-sqlmap学习笔记_sqlmap --no-cast
2301_82242964的博客
05-04 691
检测和利用SQL注入的工具。sqlmap官网sqlmapWiki本文参考用户手册,有删减,算是低创,但并非完全翻译,有包含自己的抓包及部分使用sqlmap注入的内容,sqlmap实战在文末链接。--prefix和--suffix在某些情况下,仅当用户提供要添加到注入有效负载的特定后缀时,漏洞参数才可利用。当用户已经知道查询语法并想通过直接提供注入有效载荷前缀和后缀来检测和利用SQL注入时,这些选项很方便出现的另一种情况就会出现。为了检测和利用此SQL注入,您可以让sqlmap 在检测阶段为您检测边界。
WEB安全学习笔记
chenrs727的博客
12-02 2017
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
2020上半年第29天(逻辑安全-越权及登录安全))小迪网络安全笔记
u013630181的博客
12-05 515
2021小迪web安全笔记全套.zip
08-16
安全圈子知名讲师 小迪 2021最新教学的课堂笔记 教程还是挺不错的,很好入门。教程也比较新,有新的waf绕过方法以及代码审计,还有新的工具和渗透思维。
2020上半年第36天(WAF绕过-注入漏洞))小迪网络安全笔记
u013630181的博客
12-05 181
2020上半年第8天)小迪网络安全笔记(操作②)php函数过滤
u013630181的博客
06-20 155
材料:phpmyadmin+sqlilabs第32关+phpstudy 看一下网站php文件: 先分析一下: 那url可以写成:http://127.0.0.1/sqlilabs/Less-32/?id=1’) union select1,2,3–+ 注意下面的提示,画圈的地方,这里出现了自动++转移,php中可能更有开关,或者启用了魔术引号《函数过滤》 什么是魔术引号下面我们演示一下: 第一种函数过滤法 正常情况下: 加上addslashes 第二种开关型 好的效果我们演示完了那怎么绕过去呢(
2020上半年第2天)小迪网络安全笔记(操作③)杂项操作
u013630181的博客
06-10 1480
**一:判断网站搭建平台:**判断方法很简单将要测试网址的一些字母改成大写回车后网站无变化即为Windows搭建,相反则为Linux **二:Robots操作:**直接在网站网址最后输入robots回车即可 修改后 Disallow就是不让搜索引擎爬取的信息 六**web/Cms在线指纹识别:**http://whatweb.bugscaner.com/ 输入测试网址进行测试 例如: 三:端口收集操作: 作用:多端口多漏洞增加测试目标 前提:通过扫描端口工具扫描出端口 第一种:网站网址后端直接出现808
2020上半年第2天)小迪网络安全笔记(操作②)zenmap端口扫描及vm配置和资源下载
u013630181的博客
06-10 814
zenmap下载安装请看:1 VM下载及安装:2 win10镜像:3 Vm如何安装win10:4 Vm如何联网(win10):5 Vm如何安装应用:6我用u盘直接穿的 win10怎么修改全英文:7 正式操作: 测试网站:www.xiaodi8.com 使用软件:zenmap(注zenmap要在纯英文目录下且win用户名也要英文。建议 下载虚拟机操作) 操作流程: ①验证是否可正确连接 ②进行端口扫描 提示:如果再输入目标时输入不进去可以新建一个扫描再试一试,扫描->新建扫描 ...
2020小迪安全第十一天笔记-WEB漏洞基本知识
weixin_51566416的博客
03-04 4004
笔记来源视频:【小迪安全web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 前言: 本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞 的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也 是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! 此图中右边漏洞是重点,但是左边的漏洞也要掌握 简要知识: ...
小迪安全系列笔记---08-10信息收集(信息搜集的详细总结,前十节课的总结)
weixin_51143604的博客
05-11 2438
XDSec—08-10信息收集 在写这篇博客之前,我一直在整理信息收集的一些方法论,但都感觉信息收集可为是一门玄学,内容大而广,收集的内容也可以多种多样,本文只是简单的总结一下小迪安全课程的知识点,以及本人整理的一些网上的信息收集方法;具体的信息收集方式,每个人都要有自己拿手的一套技术栈; 总之,渗透的本质是信息收集信息收集的内容全面与否,决定着攻击的成功与否. 【本文只提供信息收集的大致思路,对于工具的使用请自行了解,一些内容会后期补充】 文章目录XDSec---08-10信息收集一、确定目标二
第五天 小迪-信息收集
weixin_46653764的博客
05-20 845
已经学会了如何在服务器上搭网站了哈哈,在记录谷歌语法时,因为登不了谷歌搜索,就用百度代替吧 一、谷歌语法 1、基本符号 【""】 双引号 完全匹配搜索,如"有限公司" 【+】 指定一个一定存在的关键字 如 “有限公司” +百科 (有限公司后有空格的) 【-】 指定一个一定不存在的关键字 如 “有限公司” -百科(有限公司后有空格的) 【|】 或(满足其中一个条件即可)如 有限 | 责任,这样可以找到有 有限或责任 或者有限责任的关键字的网站 【AND】 且,都满足 如 有限.
WAF架构演进:守护Web应用的安全屏障
WAF (Web Application Firewall) 是一种网络安全设备或服务,专门用于保护Web应用程序免受各种恶意攻击。它通过在HTTP(S)流量层级上进行深度检测和分析,能够拦截SQL注入、XSS、恶意代码注入、文件包含、敏感文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值