渗透技术框架
渗透技术框架可以分作以下几个方面:
1、web基础漏洞
包括csrf、地址类参数响应包含、验证码爆破、越权漏洞、xss、sql注入、文件上传、文件包含、xxe、命令注入、ssrf,以及http响应拆分、会话固定漏洞、操作界面劫持、反序列化、溢出漏洞、解析漏洞等。
2、环境漏洞
(1)服务器容器,包括nginx、iis、apache、tomcat、jboss、weblogic等,需要注意本身所提供的管理页面
(2)api,分为前端和后端,前端主要包括jquery和其它js插件,后端包括struts2、spring、mybatis、log4j、fastjson、shrio漏洞等
(3)cms,典型的是wordpress,以及富文本编辑器。需要注意默认用户名和密码
(4)系统和其它程序,windows的永恒之蓝、linux脏牛提权、mysql弱用户名和密码,smb服务漏洞等
3、渗透工具
包括浏览器、burpsuite、sqlmap、msf、中国蚁剑、wireshark、nmap、beef-xss等
4、基础知识
(1)计算机网络,尤其是http和https
(2)windows和linux操作系统,尤其是用户权限和敏感文件、防火墙的管理和日志分析
(3)前端技术,html/css/js和jquery,以及其它高级框架
(4)编程技术,主要是java和php,其次是python
(5)工具,包括开发工具、服务器容器和其它工具
5、自定义工具和其它
(1)自定义工具
(2)渗透经验和技巧
(3)靶场实战和非靶场实战
6、其它
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战