文章分类 - Red_Team-logs
摘要:#知识点: 1、.NET配置调试-信息泄露 2、.NET源码反编译-DLL反编译 3、.NET常见安全问题-未授权访问 .NET项目-DLL文件反编译指向-代码特性 一般都是对dll文件来进行反编译,才能得到相对应的关键代码。用到ILSpy软件进行反编译。 会存在包文件,就是dll文件。还有.con
阅读全文
摘要:#知识点: 1、JS前端验证-文件上传 2、JS-Ajax传递-登录-状态 3、JS-Ajax传递-购物-参数 1、文件上传 - 类型 - 过滤 过滤可以使用PHP或者js去进行筛选,两种验证区别:PHP 验证代码看不到(黑盒),js验证代码看的到(白盒) 设计:通过JavaScript进行文件后缀
阅读全文
摘要:#知识点: 1、后台验证-登录用户逻辑安全 2、后台验证-COOKIE&SESSION 3、后台验证-验证码&万能密码等 万能密码:是根据SQL语句来进行测试的。 账号:'or 1=1#,密码随便输入 小迪博客-后台登录&COOKIE&SESSION 1.发送登录请求 账号密码 2.接受账号密码 3
阅读全文
摘要:第7天:信息打点-资产泄漏&CMS识别&Git监控&SVN&DS_Store&备份 #知识点: 1.CMS指纹识别源码获取方式 源码获取方法 2.习惯&配置&特性等获取方式 3.托管资产平台资源搜索监控 GitHub,gitee #详细点: 参考:https://www.secpulse.com/a
阅读全文
摘要:第8天:信息打点-系统篇&端口扫描&CDN服务&负载均衡&WAF防火墙 #知识点: 1.获取网络信息-服务厂商&网络架构 阿里云,华为云,腾讯云。或者学校内部(自己的机房),大型公司(自己的机房)。 2、获取服务信息-应用协议&内网资产 3、获取阻碍信息-CDN&WAF&负载&防火墙 #详细点: C
阅读全文
摘要:第9天:信息打点-CDN绕过篇&漏洞回链&接口探针&全网扫描&反向邮件 #知识点: 0、CDN知识-工作原理及阻碍 1、CDN配置-域名&区域&类型 2、CDN绕过-靠谱十余种技战法 3、CDN绑定-HOSTS绑定指向访问 hosts路径:C:\Windows\System32\drivers\et
阅读全文
摘要:第10天:信息打点-APP&小程序篇&抓包封包&XP框架&反编译&资产提取 #知识点: 1.小程序-外在-资产收集 2.APP-外在&内在-资产收集 APP安卓入手 1.外在-抓包封包-资产安全测试 资产收集-资源收取-ICO MD5,HASH-黑暗引擎搜索相关资产 1.1外在-功能逻辑 2.内在-
阅读全文
摘要:第11天:信息打点-红队工具篇&Fofa&Quake&Kunyu&Suize水泽&Arl灯塔 #知识点: 1、网络空间四大引擎-Fofa&Quake&Shodan&Zoomeye 2、自动化信息收集项目-ARL灯塔&Suize水泽&Kunyu坤舆 3、单点功能信息收集项目-企查&子域名&指纹识别&社
阅读全文
摘要:第12天:PHP开发-个人博客项目&文章功能显示&数据库操作&数据接受 #知识点: 1、PHP入门-语法&提交等 2、MYSQL入门-数据库操作 3、HTML+CSS入门-样式编排 小迪博客-文章阅读功能初步实现 实现功能: 前端文章导航,点入内容显示,更改ID显示不同内容 实现步骤: 1、前端页面
阅读全文
摘要:第13天:PHP开发-个人博客项目&文件操作类&编辑器&上传下载删除读写 #知识点: 1、文件操作类代码编写 2、文件上传&下载&删除 3、文件内容&读取&写入 4、第三方编辑器引用实例 小迪博客-文件操作&上传&下载&删除&读取&写入等 #文件上传类:-任意文件上传 1、代码自主写 自己写文件上传
阅读全文
摘要:第14天:PHP开发-个人博客项目&输入输出类&留言板&访问IP&UA头&来源 #知识点: 1、PHP-全局变量$_SERVER 2、MYSQL-插入语法INSERT 3、输入输出-XSS&反射&存储 4、安全问题-XSS跨站&CSRF等 小迪博客-输入输出&留言板&访问获取 输入输出演示: 输入代
阅读全文
摘要:第5天:基础入门-资产架构&端口&应用&CDN&WAF&站库分离&负载均衡 #知识点: 1. 资产架构-端口&目录&插件接口&多站点&多应用 2. 番外安全-域名&服务器本身&服务厂商&管理人员 3. 考虑阻碍-站库分离&CDN&WAF&负载均衡&主机防护 #详细点: 1、前置条件-购买使用-云服务
阅读全文
摘要:第6天:信息打点-Web架构篇&域名&语言&中间件&数据库&系统&源码获取 #知识点: 1、打点-Web架构-语言&中间件&数据库&系统等 2、打点-Web源码-CMS开源&闭源售卖&自主研发等 开源:可以上网搜索,免费使用,使用人不太重视 闭源:在内部,或者需要购买(源代码可能加密等) 自主研发:
阅读全文
摘要:#知识点: 1、网站搭建前置知识 2、WEB应用环境架构类 3、WEB应用安全漏洞分类 4、WEB请求返回过程数据包 #WEB应用安全漏洞分类 SQL注入,文件安全,RCE执行,XSS跨站,CSRF/SSRF/CRLF,反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等 产生层面要区分出来
阅读全文
摘要:第4天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值 #知识点: 1. 存储密码加密-Web&数据库&系统 2. 传输数据编码-各类组合传输参数值 3. 代码特性加密-JS&PHP&NET&JAVA 4. 数据显示编码-字符串数据显示编码 #本课意义: 1.了解加密编码进制在安
阅读全文
摘要:第3天:基础入门-抓包&封包&协议&APP&小程序&PC应用&WEB应用 #知识点: 1、抓包技术应用意义 //有些应用或者目标是看不到的,这时候就要进行抓包 2、抓包技术应用对象 //app,小程序 3、抓包技术应用协议 //http,socket 4、抓包技术应用支持 5、封包技术应用意义 总结
阅读全文
摘要: ``` 基础知识 #知识点: 1、名词解释-渗透测试-漏洞&攻击&后门&代码&专业词 2、必备技能-操作系统-用途
阅读全文
浙公网安备 33010602011771号