上一页 1 2 3 4 5 6 7 ··· 51 下一页
2023年10月8日
09:信息收集-APP及其他资产等
摘要: 在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助app或其他资产进行信息收集,从而开展后续渗透,那么其中的信息收集就尤为重要,这里我们用案例讲解试试如何! 1、本课重点 APP提取一键反编译提取 APP抓取数据包进行工具配合 各种第三方应用相关探针技术 各种服务接口信息相关探针技术 阅读全文
posted @ 2023-10-08 16:51 zhengna 阅读(494) 评论(0) 推荐(0)
08:信息收集-架构,搭建,WAF等
摘要: 前言:在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路就是从信息收集这里开始,你与大牛的差距也是从这里开始的! 申明:涉及的网络真实目标只做技术分析,不做 阅读全文
posted @ 2023-10-08 16:49 zhengna 阅读(504) 评论(0) 推荐(0)
2023年4月26日
07:信息收集-CDN绕过技术
摘要: CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。但在安全测试过程中,若目标存 阅读全文
posted @ 2023-04-26 12:39 zhengna 阅读(993) 评论(0) 推荐(1)
2023年4月22日
06:基础入门-加密编码算法
摘要: 前言:在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展。 1、知识点 #常见加密编码等算法解析 MD5, SHA, ASC,进制,时间戳, URL, BASE64, U 阅读全文
posted @ 2023-04-22 15:40 zhengna 阅读(646) 评论(0) 推荐(0)
05:基础入门-系统及数据库等
摘要: 前言:除去前期讲到过的搭建平台中间件,网站源码外,容易受到攻击的还有操作系统、数据库、第三方软件平台等。其中此类攻击也能直接影响到WEB或服务器安全的安全,导致网站或者服务器权限的获取。 1、操作系统层面 1.识别操作系统常见方法 如何测试一个目标操作系统是Linux还是windows? (1)有网 阅读全文
posted @ 2023-04-22 15:17 zhengna 阅读(457) 评论(0) 推荐(0)
04:基础入门-WEB源码拓展
摘要: 前言:WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 阅读全文
posted @ 2023-04-22 15:10 zhengna 阅读(730) 评论(1) 推荐(0)
03:基础入门-搭建安全拓展
摘要: 1、涉及的知识点 常见的问题 #ASP,PHP,ASPx,JSP,PY,JAVAWEB等环境 #WEB源码中敏感文件 后台路径,数据库配置文件,备份文件等 #ip或域名解析wEB源码目录对应下的存在的安全问题 域名访问,IP访问(结合类似备份文件目录) #脚本后缀对应解析(其他格式可相同-上传安全) 阅读全文
posted @ 2023-04-22 14:42 zhengna 阅读(571) 评论(0) 推荐(0)
02:基础入门-数据包拓展
摘要: 1、网站解析对应 简要网站搭建过程 涉及到的攻击层面?(源码、搭建平台、系统、网络层等) 涉及到的安全问题?(目录、敏感文件、弱口令、IP及域名等) 2、HTTP/S数据包 1.无代理 request 请求数据包 response 返回数据包 2.有代理 request 请求数据包 proxy 代理 阅读全文
posted @ 2023-04-22 12:53 zhengna 阅读(844) 评论(0) 推荐(0)
01:基础入门-概念名词
摘要: 1、域名 1.什么是域名 域名,相当于网站的名字。维基百科对域名的解释是:互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。 网域名称系统(Domain Name System),有时也简称为域名(DNS),是互联网的一项核心服务,它作为可以将域名和 I 阅读全文
posted @ 2023-04-22 12:47 zhengna 阅读(2184) 评论(0) 推荐(2)
2023年1月4日
如何使用Fiddler测试WebSocket
摘要: 一 Fiddler本身可以捕获WebSocket流量,但是无法操纵WebSocket流量。 1、启动fiddler,在主session列表中找到带ws图标的WebSocket请求。 2、双击ws请求,Fiddler界面右边就会出现WebSocket选项卡。在这个选项卡下,你能够重组碎片信息,并使用一 阅读全文
posted @ 2023-01-04 16:14 zhengna 阅读(2549) 评论(0) 推荐(2)
上一页 1 2 3 4 5 6 7 ··· 51 下一页