随笔分类 - 渗透测试
摘要:dSploit是一款基于Android系统的功能十分全面强大的网络渗透工具,可以提供给网络安全工作人员检查网络的安全性。小黑这次主要使用了其中的“简易嗅探”“会话劫持”“脚本注入”这三个功能。
阅读全文
摘要:嗅探只能发生在局域网,局域网内通信是通过MAC地址寻址的,通过IP寻址在发生在局域网间的。 ARP协议,在计算机A中会发送ARP广播来寻找通讯对象计算机B的MAC地址,如果有个计算机C,冒充双方的IP,并且把自己的MAC发送给A 和 C,就可以实现数据包转发,继而实现嗅探或监听。这就是局域网嗅探的原
阅读全文
摘要:Kali Linux预装了N多的网络工具、渗透工具,所以是渗透测试的完美工具。好了,可以开始你的渗透测试之旅了。
阅读全文
摘要:拖库(脱裤) 隐写术 拖库(脱裤) 隐写术 拖库(脱裤) 隐写术 拖库(脱裤) 隐写术
阅读全文
摘要:恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试 恶意代码检测技术 特征码扫描 沙箱技术 行为检测 恶意代码分析技术 静态分析 需要实际执行恶意代码,它通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制动态分析 在虚拟运行环境中,使用测试及监
阅读全文
摘要:恶意代码 类型二进制代码、脚本语言、宏语言等表现形式病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等 恶意代码的传播方式(1)移动存储 自动播放功能、Windows默认、自动执行autorun.inf指定的文件(2)文件传播 文件感染软件捆绑强制安装:在安装其他软件时被强制安装上默认安装:在安装其他
阅读全文
摘要:数据库安全特性检查工具美国应用安全公司的App Detective英国下一代软件公司的NGS SQuirrel 常见应用安全威胁 网络层面拒绝服务、电子欺骗、嗅探、……系统层面Web服务漏洞、配置错误、……应用层面代码缺陷(SQL注入、XSS……)资源管理……业务层面钓鱼、流程缺陷 浏览器安全防护-
阅读全文
摘要:账号安全设置 默认管理账号Administrator更名,设置密码(字母、数字、大小写字母、特殊字符,长度在8位以上)。 本地安全策略 打开方式 win+R 输入ecpol.msc 账号锁定策略 用户权限分配 关闭自动播放功能 自动播放功能的危害,插入U盘时自动执行病毒文件,则系统感染病毒。win+
阅读全文
摘要:公开信息收集-搜索引擎 快速定位Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集Google 搜索 “.doc+website”挖掘信息隐藏信息.mdb、.ini、.tx
阅读全文
摘要:web攻击的手段无非就是使服务器资源耗尽,使服务器无法接收正常请求。一、DDos攻击二、DRDos攻击三、慢攻击与Ddos攻击相反,慢攻击并不是以多取胜,而是靠保持连接。
阅读全文
摘要:DVWA是一个学习Web漏洞的很好的工具。
阅读全文
摘要:扫描工具、中间攻击工具、加密解密工具等。
阅读全文
摘要:在开展Web应用程序渗透测试之前请先了解下面列出的这些内容,如果不是很懂的话,请读David Gourley & Brian Totty的HTTP权威指南也叫HTTP:The Definitive Guide.
阅读全文
摘要:渗透测试是利用已经发现的漏洞,采用恶意黑客的惯用手段来尝试对漏洞进行攻击。Kali Linux是BackTrack的进化版,是Linux的衍生版本,专门开发用作渗透测试,其中提供了很多的渗透测试工具。结合白盒测试、黑盒测试、灰盒测试Kali Linux测试一般步骤:第一步,侦察第二步,目录测试第三步...
阅读全文
摘要:TM,威胁建模 TM建模步骤:业务分析-数据流图-信任边界-STRIDE方法-消减措施-验证 TM 滥用用例库
阅读全文
浙公网安备 33010602011771号