20169220 <网络攻防实践> 第五周学习总结

教材内容总结

一、Web应用程序安全攻防

1.Web应用程序体系结构及其安全威胁

Web应用体系结构

  • 浏览器
  • Web服务器
  • Web应用程序
  • 数据库
  • 传输协议HTTP/HTTPS

Web应用安全威胁

  • 针对浏览器和终端用户的Web浏览器威胁
  • 针对传输网络的网络协议安全威胁
  • 系统层安全威胁
  • Web服务器软件安全威胁
  • Web应用程序安全威胁
  • Web数据安全威胁

2.Web应用安全攻防技术概述

Web应用的信息收集

  • 手工审查Web应用程序结构与源代码
  • 自动下载与镜像Web站点页面
  • 使用GoogleHacking技术审查与探测Web应用程序
  • Web应用程序安全评估与漏洞探测

攻击Web服务器软件

  • 数据驱动的远程代码执行安全漏洞
  • 服务器功能扩展模块漏洞
  • 样本文件安全漏洞
  • 源代码泄漏
  • 资源解析攻击

攻击Web应用程序

攻击Web数据内容

Web应用安全防范措施

  • Web站点网络传输安全设防措施
  • Web站点操作系统及服务安全设防措施
  • Web应用程序安全设防措施
  • Web站点数据安全设防措施

3.SQL注入

SQL注入攻击原理

SQL注入攻击步骤和过程

SQL注入攻击工具

SQL注入攻击实例

SQL注入攻击防范措施

4.XSS跨站脚本攻击

XSS攻击技术原理

XSS攻击类型

XSS攻击实例

XSS攻击防范措施

二、Web浏览器安全防范

1.Web浏览器技术发展与安全威胁

Web浏览器战争与技术发展

Web浏览器的安全问题与weixie

2.Web浏览端的渗透攻击威胁——网页木马

网页木马的机理分析

网页木马的检测与分析技术

3.网络钓鱼

Kali视频内容总结

漏洞分析之数据评估(一)(16)

  • 1.BBQsql 一个python编写的盲注工具,检测可疑的注入漏洞会很有用,半自动工具,允许客户自定义参数
  • 2.DBPwAudit 数据库用户名密码枚举工具
  • 3.hexorbase 图形化的密码破解与连接工具,开源
  • 4.Jsql injection 轻量级的安全测试工具,可以检测sql注入漏洞、跨平台、开源免费,图形化
  • 5.mdbtools 包括几个子工具
  • 6.oracle scanner Java开发的oracle评估工具铭记于插件结构
  • 7.sidgusser 针对oracle的sid进行暴力枚举工具
  • 8.sqldict 用户名密码枚举工具,通过wine运行

数据库评估(二)(17)

  • 1.tnsmd10g 向oracle注入命令
  • 2.sqlsus 一个开源的mysql注入和接管工具,使用perl编写,基于命令行界面,可以获取数据库结构
  • 3.sqlninjia perl编写 侧重于获得一个shell,可找到远程sql服务器
  • 4.sqlmap 强大的侦测引擎








Web应用代理(18)

  • 1.burpsuite 攻击Web应用程序的集成平台
  • 2.owaspzap
  • 3.paros
  • 4.proxystrike
  • 5.vega
  • 6.webscarab

Burpsuite工具(19)

  • 1.配置监听端口
  • 2.爬虫与扫描
  • 3.intruder
  • 4.repeater 改包重放
  • 5.decode模块
  • 6.comparer模块
  • 7.插件模块

Fuzz工具

  • 1.bed.pl 纯文本的fuzz工具,能够检查常见的漏洞如缓冲区溢出,格式串漏洞,整数溢出等。
  • 2.fuzz_ipv6 针对ipv6协议
  • 3.ohrwurm RTP fuzz工具
  • 4.power fuzzer 图形化界面
  • 5.wfuzz 进行Web应用暴力猜解,也支持对网站目录、登录信息、应用资源文件等的暴力破解
  • 6.sfuzz
  • 7.xsser 命令行版,--gtk为图形化版 -u --cookie -v

问题:

  • 1.burpsuite使用时要将浏览器edit-preferences-advanced-network-setings中的HTTPproxy设置为127.0.0.1,但这样设置浏览器就不能上网,就不能进行抓取靶机发送的包,目前没有解决这个问题。

进度

week 教材/12章 视频/38 博客
1 Linux基础 0 1篇
2 第1-2章 1-5 1篇
3 第3章 6-10 2篇
4 第4章 11-15 1篇
5 第11-12章 16-20 1篇

参考资料

posted @ 2017-03-31 22:35  20169220赵京鸣  阅读(296)  评论(5编辑  收藏  举报