关于渗透的理解和HTTP协议基础知识

最新推荐文章于 2024-03-01 17:04:37 发布
最新推荐文章于 2024-03-01 17:04:37 发布
阅读量528 收藏
点赞数
分类专栏: 安全 文章标签: 互联网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj193165zl/article/details/95537257
版权

渗透分为常规的渗透和非常规渗透

常规渗透就是指,公司去找第三方安全公司与第三方安全公司签订安全保密协定,然后让第三方公司对自己的产品做安全测试,并让安全公司给自己的产品出具安全报告。

一般的常规渗透都是对指定的某个产品在规定的范围内进行,也就是又针对性的目标和范围。常规渗透的流程如下图:

非常规渗透:如APT攻击和红蓝对抗,这种渗透通常是为了获取利益或者破坏为主,它没有边界和指定的目标。非常规渗透流程图如下:

渗透的方面又哪些呢?

渗透测试一般是通过系统层,网络层,应用层这三方面进行。

HTTP[超文本传输]协议基础知识

版本线:91年发布0.9,只有get请求

96年发布1.0版本,增加了post请求和head请求.

97年发布1.1版本,现在的网上使用最多的一个版本,它的最大的改变是引入了持久连接,即TCP连接默认不关闭,可以被多个请求复用。同时,新增加了OPTIONS,PUT,DELETE,TRACE,CONNECT五种请求方法。

扫描网站的方法:由于常规的GET请求,需要服务器的内容返回,这就会导致扫描很慢;所以一般的情况下,都会采用HEAD请求的方式,对整个网站进行扫描。这种方式不需要等待服务器的返回结果,就可以获取到所有的可访问路径情况。

HTTP状态码:

2xx:成功访问

3xx:重定向

4XX:访问失败,一般为访问的资源不存在(404)访问的资源不允许或者没有权限(403)等

5XX:指服务端错误,一般这个跟后端的服务配置有关。

HTTP的头部信息(header)

 

 

wj193165zl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大量的Web应用程序渗透性测试漏洞赏金记录
03-04
入门并成为专家,初学者为专家!... HTTP协议理解-https: HTTP请求的一部分-https: pHFWGN- HTTP响应的一部分-https: 各种HTTP方法-https: 了解-https: 5Jr- REST简介-https: HTTP请求和响应标头-https:
[渗透测试]—5.2 网络协议漏洞
Andy0214的专栏
06-27 5940
在这一章节中,我们将学习网络协议漏洞,如ARP欺骗、DNS欺骗等,并通过实例来讲解如何利用这些漏洞进行网络渗透测试。请放心,我们会尽量讲得详细、通俗易懂,并提供尽可能多的实例。
网络渗透技术
m0_62309510的博客
03-08 4543
一、收集域名信息 1、Whois查询 定义:标准的互联网协议,可用于搜集网络注册信息,注册的域名、IP地址等信息。(简单来说,Whois是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库) 在线Whois查询的常用网站:爱站工具网(https://whois.aizhan.com) 站长之家(http://whois.chinaz.com) ...
怎么做第三方渗透测试报告?
WXK995的博客
03-01 134
渗透测试(PenetrationTesting)是受信任的第三方测评机构通过模拟黑客可能使用到的攻击手段和漏洞挖掘技术对目标网络或目标系统的安全性作出风险评估和脆弱性分析并给出安全加固建议的一个测试过程。渗透测试是站在第三者的角度来思考企业系统的安全性的,通过渗透测试可以发觉企业潜在却未纰漏的安全性问题。企业可以根据测试的结果对内部系统中的不足以及安全脆弱点进行加固以及改善,从而使企业系统变得更加安全,减低企业的安全风险。这样的渗透测试报告才能被认定是有效力的。标签:国网电力、安全测评、渗透测试。
一款针对Profinet协议漏洞渗透的工具
systemino的博客
05-25 1296
PROFINET由IP国际组织推出,是新一代基于工业以太网技术自动化总线标准,PROFINET-DCP是发现和基本配置协议,用于标识与查询有无指定IP地址节点,然后配置IP地址、默认网关、子网掩码。DCP是标准的PROFINET功能,可以读写设备与网络地址相关参数。由于只能在一个局域网中使用,通过实时通道传输,使用DCP协议可以实现不需要额外组态工程操作就能替换设备。 PROFINET-DCP ...
网络安全之渗透基础知识点)
VN520的博客
04-04 4262
1、 脚本语言2、常见脚本语言3、 HTTP协议,HTTP代理4、 CMS(B/S)内容管理系统5、 MD5(不可逆的,常见的MD5解密网站其实是将一些明文进行MD5加密,形成一个库,在查询的时候将密文与库中的信息进行碰撞,最后得到明文)
渗透测试基础之http协议基础
m0_46304840的博客
02-12 1247
目录 前言 正文 http的工作流程(快速理解) 关于url的构成 HTTP请求包与返回包 请求包: 返回包: 常见的header: 前言 我又来了,更新速度有点快,莫得办法,贼无聊~~~ 想不出骚话了,略过~~~~ 正文 http的工作流程(快速理解) 什么是客户端? 客户端可以理解成用户 指浏览器 什么是服务端? 服务端可以理解成商店 ...
网络安全知识竞赛.pdf
06-09
网络安全知识竞赛 1、 基于信息保障深层防御战略思想, 我们可以将一个典型的用户网络安全划分为三个模块来全盘考虑, 这三个模块是:_____________()[单选题] * A.服务器、网络传输设施和网络边界 B.服务器、网络...
网络安全的教程.txt
04-10
网络基础知识:学习网络的结构、协议、服务和安全问题,以便更好地理解网络安全的原理和技术。 安全基础知识:掌握安全的概念、原则、威胁和攻击方式,这有助于你理解网络安全的重要性和必要性。 二、网络安全...
网络安全-学习资料+竞赛证书相关+就业相关
最新发布
04-30
内容涵盖了从网络安全基础知识到高级技术的系统学习,同时包含了网络安全竞赛的参与指导以及就业市场的分析与建议。 学习资料部分: 提供了网络安全领域的基础理论知识,如网络协议、操作系统安全、数据加密等。 ...
计算机网络课程设计---端口扫描工具设计.docx
05-25
端口扫描器的研究 TCP协议介绍 提到端口扫描技术就不可不提及TCP协议了,作为互联网的核心协议,TCP协议的重要性是人人皆知,端口扫描主要是建立在TCP协议基础上的一门技术。TCP协议是一种面向连接的,可靠的传输...
【网络安全】-- 网络渗透技术攻防(--更新中)
用余生去守护的博客
12-22 2992
我今日所做的事远比我往日的所作所为更好,更好;我今日将享受的安息远比我所知的一切更好,更好。
php伪协议漏洞_【渗透技巧】PHP伪协议的多种利用场景
weixin_39974932的博客
12-22 732
0x00 前言 PHP中有很多内置URL风格的伪协议,本文以实际案例出发,详细介绍PHP伪协议渗透测试实战中的多种利用场景0x01 场景1 CSRF一些开发人员在防御csrf的攻击时,仅判断referer是否为来源域名,没有考虑referer为空的情况。利用data伪协议可以将referer置为空,绕过csrf的防御。下面以dvwa环境中的csrf漏洞举例:将存在判定re...
Java转网络安全渗透测试,挖漏洞真香啊
liuhyusb的博客
07-06 701
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
网络安全之黑客渗透
todd_qwe的博客
04-21 3528
带你学习渗透概述渗透测试流程1、渗透前期(网络踩点、网络扫描、网络查点)2、渗透中期(利用漏洞信息进行渗透攻击、获取权限)3、渗透后期(后渗透维持攻击、文件拷贝、木马植入、痕迹擦除) 概述 学习完路由交换,再来学习安全,通俗易懂 先推荐几本书:《Metasploit渗透测试魔鬼训练营》、《网络攻击技术与实践》、《黑客攻防:从入门到精通》 TCP/IP协议安全介绍 渗透测试流程 渗透测试实践标准 ...
最常见的网络协议及其漏洞
一杯咖啡的渗透记忆
12-09 2643
网络协议是一套已建立的规则,通过遵循一种安全,可靠和简单的方法来控制和控制信息的交换。这些规则集适用于各种应用程序。协议的一些知名示例包括有线网络(如以太网),无线网络(如WLAN)和Internet通信。用于在Internet上广播和传输数据的Internet协议套件包括数十种协议。 这些协议中存在许多漏洞,这些漏洞导致它们被积极利用,并对网络安全提出了严峻挑战。让我们了解14种最常见的网络协议及其中存在的相应漏洞。 1.地址解析协议(ARP) 通信层协议(数据链路层和网络层之间的映射过程),用
渗透技巧】pop3协议渗透
b10d9的博客
01-03 6184
渗透技巧】pop3协议渗透banner信息获取nmap pop3脚本扫描pop3爆破pop命令行命令行登录pop邮箱telnet方式nc方式例子 banner信息获取 nc -nv <IP> 110 nmap pop3脚本扫描 nmap --scripts "pop3-capabilities or pop3-ntlm-info" -sV -port <PORT> <IP> pop3爆破 可以使用hydra或者xhydra。hydra-wizard可以提供命令行向
安全基础-渗透流程 HTTP请求
lijie19870626的博客
10-16 271
什么是渗透渗透就是模拟黑客攻击找到企业程序中的漏洞,找到漏洞后输出一份漏洞报告,报告里边有修复漏洞的建议。 时间、耐心、细心、精力集中必不可少。 渗透也分为几类: 白帽子,查找企业漏洞提交修复。 黑帽黑客,这类人可能有背景或者其它利益相关会,查找漏洞并且深入获取信息。 常规渗透: 保密协议 针对性目标测试 指定范围测试 非常规: ART攻击 红蓝对抗 HTTP即超文本传输协议,是一种详细规定了...
渗透工程师需要掌握什么技能知识
02-26
1. 计算机网络和操作系统的基础知识渗透工程师需要了解计算机网络和操作系统的基础知识,包括TCP/IP协议、网络拓扑结构、不同操作系统的架构和运行机制等。 2. 渗透测试技能:渗透工程师需要掌握渗透测试技能,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值