随笔分类 - 渗透测试 / Web安全攻防-渗透测试实战指南2
摘要:针对云环境的渗透 1.云术语概述 1.1.RDS 关系数据库服务(Relational Database Service,RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务 RDS 采用即开即用的方式,兼容 MySQL、SQL Server 两种关系数据库,并提供数据库在线扩容、备份回滚、性能检测及
阅读全文
摘要:WAF 绕过 1.WAF分类 1.1.软件 WAF 一般被安装到 Web 服务器中直接对其进行防护,能够接触到服务器上的文件,直接检测服务器上是否有不安全的文件和操作等。 常见的软件:安全狗、云盾、云锁等 1.2.硬件 WAF 以硬件的形式部署在网络链路中,串联部署、旁路部署 串联部署的 WAF 在
阅读全文
摘要:常用渗透测试工具 1.sqlmap 支持的数据库:MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB 支持的六种注入技术:boolean-based盲注、time-based盲注、err
阅读全文
摘要:漏洞环境 1.Ubuntu 安装 docker Ubuntu 镜像下载 Ubuntu 虚拟机安装 Ubuntu 虚拟机 VMWare-Tools 安装: sudo apt-get install open-vm-tools #全选y sudo apt-get install open-vm* #全选
阅读全文
摘要:渗透测试之信息收集 1、常见 Web 渗透测试信息收集方式 1.1、域名信息收集 1、全球 whois 查询 相关信息: 部分注册信息、域名所有人姓名和邮箱、域名注册商、注册时间、域名ID、域名状态、网页主机IP地址、注册局whois主机的域名等 工具: 爱站网 站长之家 VirusTotal 微步
阅读全文
