07 2017 档案

渗透测试——XP工具练习之目录扫描工具
摘要:前一篇博客讲了为何要用到目录扫描工具,这一篇主要讲对扫描后的结果的一个分析。 1、url对应的响应状态,200,404,等http://blog.csdn.net/liuwenbiao1203/article/details/52085207这篇博客有了详细的说明 2、访问robots.txt文件 阅读全文
posted @ 2017-07-25 23:46 程序媛墨禾 阅读(399) 评论(0) 推荐(0)
web测试的平台的开发
摘要:嗅探的调试方法 1、基本原理:将socket服务器端的组件嵌入web,这种也是各种防火墙和入侵检测系统常用的方法【现在的web云查杀和态势感知也是类似的原理】 引用动态链接库 TanSocketEX.dll using TanSocketEX; 程序开始地方加这段代码。 if ((int )TanN 阅读全文
posted @ 2017-07-25 22:42 程序媛墨禾 阅读(548) 评论(0) 推荐(0)
渗透测试——XP工具练习
摘要:1、今天主要是练习目录扫描工具 意义:随着视野不断加深,发现普通的工具再也无法扫描出web的管理后台,谷歌的搜索引擎也无法找出管理后台。 网站的后台扫描的障碍: 1、robot.txt 文件屏蔽了一些重要的文件,也可能是一些不重要的文件,根据社工的心理分析,这个文件中的东西肯定是会有一定的迷惑性的, 阅读全文
posted @ 2017-07-24 23:09 程序媛墨禾 阅读(327) 评论(0) 推荐(0)
sqlserver 性能优化研究报告
摘要:以选课的存储过程为例: 补充一下专业术语,简单的个人理解:物理读取【从内存上读取】,逻辑读取【通过逻辑结构去读取】,物理读取的效率远远低于逻辑读取。 1、在选课表中添加索引(数据量大) SELECT ExperimentalProjectName FROM ExperimentalArrangeme 阅读全文
posted @ 2017-07-23 11:21 程序媛墨禾 阅读(353) 评论(0) 推荐(0)
渗透测试——寻找非常规后台技巧
摘要:主要几种方法:1、挂字典 2、搜索引擎 3、爬虫:搜索出来所有网站查找后台入口 4、robots.txt防止爬虫规则文件,利用此文件寻找有利信息 5、故意请求不存在的页面,报错页获取服务器信息 6、通过寻找网站模板的特点,去寻找开源网站的命名规则、版本号、漏洞等 扫目录需要挂比较大的字典,但有些东西 阅读全文
posted @ 2017-07-21 08:34 程序媛墨禾 阅读(1777) 评论(0) 推荐(0)
linux——使用FTP使Linux与win实现文件共享
摘要:1、建立ftp服务器 安装FTP客户端,连接,实现文件共享 阅读全文
posted @ 2017-07-20 21:47 程序媛墨禾 阅读(827) 评论(0) 推荐(0)
根据不同类型的攻击:get\post\cookie,采取不同的防御机制
摘要:特点: 1.GET和POST的区别 A. 从字面意思和HTTP的规范来看,GET用于获取资源信息而POST是用来更新资源信息。 B. GET提交请求的数据实体会放在URL的后面 C. GET提交的数据长度是有限制的,因为URL长度有限制,具体的长度限制视浏览器而定。而POST没有,所以提交大量数据选 阅读全文
posted @ 2017-07-20 17:18 程序媛墨禾 阅读(1076) 评论(0) 推荐(0)
为公司转型做的一些准备——数据库设计技术
摘要:一、数据库需求设计的基本任务:https://wenku.baidu.com/view/9ae59b6ca45177232f60a2d1.html 先掌握概念上的学习->因为已经有了实战经验,慢慢从实战经验中获取有利的经验,但经验并不是真理也不一定正确,所以还要获取比较权威的知识技术人才的指导和帮助 阅读全文
posted @ 2017-07-17 22:02 程序媛墨禾 阅读(153) 评论(0) 推荐(0)
linux——网络情报收集(总结篇.干货+实战)
摘要:这里附上一篇 2cto.com上的干货,自己根据这些干货整理了一些实用工具 http://m.2cto.com/article/201309/245214.html 从攻击者的角度出发的几个简单步骤: 1、确定自己的目标,目标可以是一个网络,web应用程序,组织或个人。在我们的世界中,寻找信息也被称 阅读全文
posted @ 2017-07-16 10:25 程序媛墨禾 阅读(902) 评论(0) 推荐(0)
【待更新】渗透学习之sqlmap使用
摘要:sqlmap的作用: 与sqlmap相关联的用法: 1、与靶机的联合使用 sqlmap 各种参数的熟悉使用: sqlmap漏洞分析:r如何寻找出注入点: 学会分析各种信息提供出来的注入点,然后进行分析总结。 sqlmap的漏洞分析与其他工具有何区别: 1、每个工具都有他的独特性,我应该把自己定位在做 阅读全文
posted @ 2017-07-15 20:25 程序媛墨禾 阅读(267) 评论(0) 推荐(0)
渗透测试之各种数据库类型特点的总结
摘要:背景介绍:从攻击者角度分析,如果要对一个完全未知(数据库类型、数据库、数据表、网站后台)的网站进行攻击,简单来说,我们要对一个陌生的网站进行盲注。那么实行注入可以从数据库入手,那么一个数据库可从从哪些方面入手呢?独特的数据表、独特的SQL语句的用法....... 那么接下来,我们来总结一下几个数据库 阅读全文
posted @ 2017-07-15 20:01 程序媛墨禾 阅读(786) 评论(0) 推荐(0)
渗透测试之web漏洞分析——预习dwva靶机系统
摘要:需要掌握的几个重点: 1:如何通过分析靶机系统的漏洞代码,来分析漏洞是如何产生的。 2、漏洞示例:如何操作各种漏洞 3、靶机系统与真实系统之间有什么差别 阅读全文
posted @ 2017-07-15 08:31 程序媛墨禾 阅读(606) 评论(0) 推荐(0)
linux——构建自己的学习架构树之渗透测试总结
摘要:背景介绍:学习了已有将近一个月的渗透测试的工具操作了,对linux的网络知识也初有涉略,可是随着工具的越来越多,我开始比较迷茫与渗透学习是不是只是在工具的选择上不断的重复。而且我有该怎么把这些工作变成自己的东西吸收进来,而不仅仅是学习这些所谓的操作步骤。 迷茫之际,听师父讲学,就如何对自己所学的东西 阅读全文
posted @ 2017-07-14 23:32 程序媛墨禾 阅读(531) 评论(0) 推荐(0)
linux——win10虚拟机安装kali-xfce 64位(客户机操作系统已禁用 CPU。请关闭或重置虚拟机)
摘要:首先介绍一下我出错使用的工具清单:1、虚拟机 VMware 12.0 32位 2.镜像kali-linux-xfce-2016.2-amd64 64位 安装后报错:客户机操作系统已禁用 CPU。请关闭或重置虚拟机——报错;系统界面上显示:this kneral is....i3686cpu,is n 阅读全文
posted @ 2017-07-14 09:22 程序媛墨禾 阅读(3453) 评论(0) 推荐(0)
linux——web安全之sql注入【预习阶段】
摘要:1、基本术语的认识【第一阶段先了解基本的术语,第二阶段去熟悉理论】 授权和认证: Microsoft SharePoint Foundation 支持网站、列表、列表文件夹或库文件夹以及项级别上的用户访问安全性。所有级别上的安全管理均基于角色,这样可为跨 SharePoint Foundation 阅读全文
posted @ 2017-07-08 22:24 程序媛墨禾 阅读(461) 评论(0) 推荐(0)
linux——攻防技术介绍|主动攻击|被动攻击
摘要:一、攻防介绍 1、几种常见的攻击方式 syn攻击:利用TCP的协议漏洞 知识储备:TCP的三次握手协议、建立攻击点 分布式攻击: 2、防御 syn攻击:1、使得第三次握手协议失败 二、主动攻击 直接切断攻击目标的网络连接,然后通过捕获握手协议中的封包,从而寻找攻击点。 三、被动攻击 在本机IP地址和 阅读全文
posted @ 2017-07-07 15:25 程序媛墨禾 阅读(684) 评论(0) 推荐(0)