摘要:
前言:在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展。 1、知识点 #常见加密编码等算法解析 MD5, SHA, ASC,进制,时间戳, URL, BASE64, U 阅读全文
摘要:
前言:除去前期讲到过的搭建平台中间件,网站源码外,容易受到攻击的还有操作系统、数据库、第三方软件平台等。其中此类攻击也能直接影响到WEB或服务器安全的安全,导致网站或者服务器权限的获取。 1、操作系统层面 1.识别操作系统常见方法 如何测试一个目标操作系统是Linux还是windows? (1)有网 阅读全文
摘要:
前言:WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 阅读全文
摘要:
1、涉及的知识点 常见的问题 #ASP,PHP,ASPx,JSP,PY,JAVAWEB等环境 #WEB源码中敏感文件 后台路径,数据库配置文件,备份文件等 #ip或域名解析wEB源码目录对应下的存在的安全问题 域名访问,IP访问(结合类似备份文件目录) #脚本后缀对应解析(其他格式可相同-上传安全) 阅读全文
摘要:
1、网站解析对应 简要网站搭建过程 涉及到的攻击层面?(源码、搭建平台、系统、网络层等) 涉及到的安全问题?(目录、敏感文件、弱口令、IP及域名等) 2、HTTP/S数据包 1.无代理 request 请求数据包 response 返回数据包 2.有代理 request 请求数据包 proxy 代理 阅读全文
摘要:
1、域名 1.什么是域名 域名,相当于网站的名字。维基百科对域名的解释是:互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。 网域名称系统(Domain Name System),有时也简称为域名(DNS),是互联网的一项核心服务,它作为可以将域名和 I 阅读全文