最新要闻
- 云从科技:目前基础部分的算力需求能够被基本满足_全球热资讯
- 暴雪对《暗黑破坏神4》服务器感觉良好:我们准备好了!
- 【独家焦点】电影《诛仙1》CCTV6今晚开播收视登顶!肖战、李沁主演
- 天天滚动:注意!江苏苏州将发放1亿元购车补贴 一次性可补五千
- 日版实体版《死亡细胞:重返恶魔城》将9月14日发售 为特别好评作品
- 真人电影《勿言推理》追加演员阵容公布 永山瑛太将出演影片
- 《原神》七圣召唤国际大赛将于今年举办 为上线以来首次官方国际赛事
- 玩家打造全球最小GC主机 方正小巧造型吸引众人的喜爱
- BOSS直聘-W:耗资约400万美元回购近58.76万股-环球快看点
- 动画声优大西沙织因健康状况恶化将减少工作活动 曾配音《路人女主》
- 广东汕尾台风天刮来众多生蚝 两人一小时收获两百多斤
- 《斗罗大陆2》被曝最新路透照 张予曦饰演的小舞白裙绝美可人
- 2023新一线城市名单公布 北方仅有四座城市上榜
- “高考钉子户”梁实马上迎来其第27次高考 称准备相对充分
- 当前头条:日本最大啤酒商要重返中国:你爱日啤、德啤还是国啤?
- 3999元起 华为Vision智慧屏3开售:720P秒变4K
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
今日热闻!小迪网安笔记一:基础入门
小迪笔记
个性化笔记:自己感觉不懂得,记不住的感觉重要的,觉得是需要补充的;
B站大佬的笔记很详细了,本篇笔记重在个人动手实验,自己理解原理意思,以及纪录个人进度,这里只做个性化笔记,一阶段一阶段的发,先立下flag,看看能否完成,篇章如下:
- 基础入门(第1天--第6天)
- 信息收集(第7天--第10天)
- web漏洞--SQL注入(第11天--第19天)
- web漏洞--文件上传(第20天--第24天)
- web漏洞--XSS(第25天--第28天)
- web漏洞--CSRF和SSRF(第29天)
- web漏洞--命令执行(第30天)
- 应急响应(第73天--第75天)
- Python开发(第76天--第79天)
- 红蓝对抗(第80天--第82天)
day1 基础入门-概念名词
第1天:基础入门篇~概念名词_不同脚本类型与安全漏洞的关系_廖一语山的博客-CSDN博客
(资料图)
域名
美国政府授权的机构ICANN负责管理全球根服务器、域名体系和IP地址等的管理;
中国政府授权的机构CNNIC(中国互联网信息中心)负责管理国内相关管理;
而与之合作的委托商有阿里云(收购的万网)、腾讯云、华为云等,可以在委托商购买域名,但是国内得备案才能使用,而国外则不需要;
国内:https://wanwang.aliyun.com/domain/tld#.com
国外:https://www.namesilo.com/
内容来源于: http://www.dzwebs.net/2913.html
ps:虽然亚洲只有一台根服务器在日本,但是不要慌,就算老美ban了我们,我们有镜像的,国内正常可以访问全球,但是别的国家可能访问不了我们;
DNS
常见的 DNS 安全攻击包括:
- DNS 污染攻击:攻击者篡改 DNS 服务器的响应,向用户提供错误的 IP 地址,从而导致用户访问到错误的网站或域名。
- DNS 劫持攻击:攻击者通过攻击 DNS 服务器或中间路由器,劫持用户的 DNS 查询,并向用户提供错误的 IP 地址,从而使用户访问错误的网站或域名,或者劫持用户的网络流量并进行中间人攻击。
- DNS 爆破攻击:攻击者通过大量的 DNS 查询请求猜测 DNS 查询的域名,从而发现域名的真正 IP 地址,对目标网络进行攻击。
- DNS 放大攻击:攻击者利用 DNS 协议的特点,向 DNS 服务器发送大量的 DNS 查询请求,使服务器响应大量的 DNS 数据包,从而占用服务器资源,甚至造成拒绝服务攻击。
- DNS 欺骗攻击:攻击者伪造 DNS 响应,将用户的 DNS 请求重定向到攻击者指定的网站或域名,并进行钓鱼攻击。
- DNS 反射攻击:攻击者利用 DNS 服务器中的开放式递归查询,向服务器发送假冒的 DNS 请求,使服务器向攻击目标发送大量的 DNS 响应数据包,从而进行拒绝服务攻击。
脚本语言
漏洞挖掘、代码审计与脚本类型的关系:
代码审计和漏洞挖掘都是通过分析代码来找出安全漏洞的过程;
不同的脚本类型对代码审计的影响不同,比如PHP因为其灵活性容易出现安全漏洞所以需要严格的代码审计;
不同的脚本类型对漏洞挖掘的影响不同,比如C/C++程序中,内存处理漏洞和缓冲区溢出漏洞比较常见可用fuzzing(模糊测试,基于黑盒测试)等工具辅助挖掘;
后门
后门是指在计算机系统中留下的一种用于绕过安全控制的可执行代码,通常由黑客或攻击者安装在系统中。后门的存在会给系统和数据带来潜在的安全风险。
后门的种类:后门根据不同的入侵方式和功能可以分为多种类型,包括远程后门、本地后门、固件后门、逆向后门等。
后门的危害:后门容易被黑客利用,进而对系统和数据造成严重的安全威胁,如信息窃取、篡改和删除、拒绝服务攻击、数据损毁等。
后门的检测:在安全评估和防御中,检测和定位后门是一项重要的工作。要检测后门通常需要使用一些特定的工具,如反病毒软件、安全扫描器、入侵检测系统等。
后门的玩法:攻击者使用各种技术、手段和工具制作和使用后门,比如通过文件上传漏洞、远程命令执行漏洞、社交工程和钓鱼等方式,来安装后门并维持其访问。
后门的免杀:为了避免病毒和反病毒程序检测和清除,攻击者可能会采用加壳、混淆、反调试等技术进行免杀,使得后门难以被发现和清理。
今日get:
app模拟器:http://www.xyaz.cn/
app逆向工具: https://pan.baidu.com/s/13_i1ExwEaA59GfMt1Rp0Hg
提取码:0b7b
远程管理工具:https://github.com/quasar/QuasarRAT/releases
网络抓包工具:http://www.downcc.com/soft/11196.html
多地ping网站:https://www.itdog.cn/ping/
hosts文件地址:C:\Windows\System32\drivers\etc
完成实验:
day2 基础入门-数据包扩展
第2天:基础入门~数据包拓展_x-ws-request-id_廖一语山的博客-CSDN博客
主要是熟悉请求包和响应包,以及抓包
今日get:
在线靶场_墨者学院 (mozhe.cn)
完成实验:
day3 基础入门-搭建安全扩展
第3天:基础入门~搭建安全拓展_廖一语山的博客-CSDN博客
域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分; IP扫描可以直接扫描出来服务器的根目录,得到的信息更多;
ISS服务站点搭建配置: https://blog.csdn.net/u011781521/article/details/53914335
找源码放服务站点:https://down.chinaz.com/class/3_1.htm
注意源码的敏感文件,后台路径,中间件类型;
一键搭建漏洞靶场?https://vulhub.org/
这里搞了好久啊,踩了很多坑,不过最后总是搭建好了,尝试了一下mysql的漏洞,呃就那一个,上期墨者学院的在线靶场还没搞啊,夭寿了;
Apache解析后缀漏洞: https://vulhub.org/#/environments/httpd/apache_parsing_vulnerability/
day4 基础入门-web源码扩展
web源码很重要,可以代码审计漏洞也可以做信息突破口!
怎么搞?搜索,咸鱼淘宝,第三方源码站。各种行业使用源码的渠道各式。网上查找、二手网站售卖、第三方网站(灰色)、知情圈内人分享
第4篇:基础入门~Web源码拓展_廖一语山的博客-CSDN博客
5. 语言与框架 — Web安全学习笔记 1.0 文档 (websec.readthedocs.io)
cms指纹识别:
云悉互联网WEB资产在线梳理|在线CMS指纹识别平台 - 云悉安全平台 (yunsee.cn)
https://github.com/Lucifer1993/cmsprint
使用命令:“ certutil -hashfile 文件名称.文件类型 MD5” 查看文件MD5值,比对指纹字典值查看是不是相应的
http://www.xiaodi8.com/?id=182
day5 基础入门-系统及数据库
除了中间件、网站源码问题容易导致安全问题以外,还有就是OS、DB、第三方软件平台等;
操作系统
如何判断对方服务器类型?
1、网站的访问链接更改大小写字母进行测试,如果更改后正常访问即Windows平台,如果不可以就是Linux平台;
2、根据ping对方网站返回的TTL值判断
3、nmap 工具判断
经典OS漏洞:MS17:010(永恒之蓝)
如何判断对方数据库类型?
动态网站才有数据库
1、可以根据常用开放端口判断
2、可以根据网站采用的代码语言常用数据库判断
不同的数据库攻击漏洞类型不同,
如何判断对方第三方软件
多数情况下是端口扫描判断,或者网站扫描
比如phpstudy默认的,或者其他快速搭建平台的默认的等等;
如果目标既不是web安全,又不是APP安全测试,可能是邮件服务器,游戏,负载均衡服务器,根据提供的服务来确定测试思路。
ms17010操作系统漏洞实验;数据库弱口令实验;
nmap端口扫描不出来
nmap探测系统信息 - 稀少的瓜皮 - 博客园 (cnblogs.com)
使用nmap 进行多种安全评估_nmap检测ssl_煜铭2011的博客-CSDN博客
1、对方装了防护软件,禁止了探针
2、对方服务器在内网
关键词:
-
世界微头条丨Doris(六) -- 查询语法和内置函数
查询语法和内置函数 查询语法整体结构```sqlSELECT[ALL|DISTINCT|DISTINCTROW]--对查询字段的结果是否需
来源: -
重装系统之后发现网卡驱动丢了,怎么办?一招解决_世界简讯
碰到这种情况也是很无语,内心OS:为何正版的windows10会出现这个少了驱动![](https: img2023 cnblogs com
来源: 今日热闻!小迪网安笔记一:基础入门
世界微头条丨Doris(六) -- 查询语法和内置函数
重装系统之后发现网卡驱动丢了,怎么办?一招解决_世界简讯
云从科技:目前基础部分的算力需求能够被基本满足_全球热资讯
暴雪对《暗黑破坏神4》服务器感觉良好:我们准备好了!
【独家焦点】电影《诛仙1》CCTV6今晚开播收视登顶!肖战、李沁主演
天天滚动:注意!江苏苏州将发放1亿元购车补贴 一次性可补五千
日版实体版《死亡细胞:重返恶魔城》将9月14日发售 为特别好评作品
真人电影《勿言推理》追加演员阵容公布 永山瑛太将出演影片
《原神》七圣召唤国际大赛将于今年举办 为上线以来首次官方国际赛事
玩家打造全球最小GC主机 方正小巧造型吸引众人的喜爱
BOSS直聘-W:耗资约400万美元回购近58.76万股-环球快看点
动画声优大西沙织因健康状况恶化将减少工作活动 曾配音《路人女主》
广东汕尾台风天刮来众多生蚝 两人一小时收获两百多斤
《斗罗大陆2》被曝最新路透照 张予曦饰演的小舞白裙绝美可人
2023新一线城市名单公布 北方仅有四座城市上榜
“高考钉子户”梁实马上迎来其第27次高考 称准备相对充分
15)触发器
天天微动态丨小程序容器助力航空企业数字化转型
全球新动态:2.单向链表
Quartz任务调度框架 世界报资讯
视点!掌握嵌入式Linux编程0简介
月度回望|“资产荒”逻辑未破 5月债市现券收益率曲线陡峭下移
当前头条:日本最大啤酒商要重返中国:你爱日啤、德啤还是国啤?
3999元起 华为Vision智慧屏3开售:720P秒变4K
刀塔循环圈单机地图 刀塔循环圈-天天即时看
React Native+小程序容器=更高的开发效率_焦点热门
全球热议:uniapp uni-number-box组件 步长为1,还能输入小数思路分享
Linux工作原理3设备 天天简讯
2023-05-31:给定一个整数数组 A,你可以从某一起始索引出发,跳跃一定次数 在你跳跃的过程中,第 1、3、5... 次跳跃称为奇数跳跃 而第 2、4、6
世界微动态丨货币市场日报:5月31日
“暖蜂驿站”温暖“两新”群体 相城区太平街道打造“15分钟暖蜂服务圈”-每日关注
首发2999元 联想百应新款迷你主机上架:13代i5、机身仅0.5L 全球快消息
满油满电续航1370公里 加速7秒内!吉利银河L7上市:13.87万起|世界观焦点
NVIDIA发布535.98驱动更新:大幅提升《暗黑破坏神4》帧数 每日快讯
当前观察:4799元开售!一图看懂努比亚Z50 Ultra摄影师版:玻璃“皮革”独一家
c#使用内存映射像处理内存一样去快速处理文件_全球热头条
重学c#系列——DiagnosticListener [三十五]|每日热门
市场监管总局:CCC认证制度实施以来,儿童玩具合格率显著提升 每日关注
从蔚小理到理小蔚 蔚来汽车做高端砸换电能否逆袭?|今日报
华为凌霄子母路由Q6E正式开售:电线变网线 全屋Wi-Fi满格
《小美人鱼》内地票房突破2000万!累计观影人次达54.7万 全球报道
摩尔线程显卡支持DX11游戏!国产第一家
针刺只是小儿科!吉利银河L7电池遭“蹂躏”:跌落水泡火烧撞击均无碍
天天热头条丨记录--Js基础练习题目
Apache DolphinScheduler 3.0.6 发布,或将是最后一个 3.0.X 版本|当前播报
债市日报:5月31日
航天宏图: 公司无人机业务:业务领域覆盖国土测绘、环保监测、河道监测、电力巡检、管道巡线、灾情监测等
或有剧毒!印度学生午餐中现20厘米死蛇:多人进餐后呕吐昏迷 环球要闻
风头盖过马斯克访华 贾跃亭新车220万开卖!FF 91最全解析 世界速递
全球今日讯!新型太阳能电池问世:柔韧性极高 弯曲角度可超360度
中兴晴天墙面路由器上手:新一代WiFi 6穿墙神器
明星餐饮为何逃不出短命魔咒?专家解释原因 全球速读
深圳电网用电负荷连续第三年突破2000万千瓦 当前热点
1499元起 OPPO K11x今晚开售:1亿像素+67W快充
全球今亮点!618最值得买的数码好物!华为家庭存储七大核心优势:比NAS好用多了
四川南充暴雨 下水道喷出1米高水柱!网友:趵突泉南充分泉
预售18:00截止!B站大会员年卡仅需88元
世界热议:手机PC秒变4TB硬盘空间!华为家庭存储图赏
理论+实操|一文掌握 RFM 模型在客户数据洞察平台内的落地实战|焦点速讯
热讯:TSN流量记录器:验证汽车网络中的以太网聚合,经济高效的解决方案
MySQL之常用数据类型
Spring MVC官方文档学习笔记(二)之DispatcherServlet
Python海龟有了新技能,这回画了个印度美女。它正在一丝不苟地给它画像,Python洪水填充fill命令用法。-微动态
天天报道:杀疯了!比亚迪新款元Pro上市:9.58万起 比预售价低4000
【环球速看料】海外版“坦克300”即将国产? 福特烈马国内路试谍照曝光!
台湾大王具足虫拉面341元一碗 学者:海蟑螂远亲 可能会中毒
日本赛马撞线后猝死:前骑手嘲讽哀悼网友“伪君子”引争议
今日要闻!苹果618大跌:iPhone 12/256GB 3499元、iPhone 14 4999元
仙佑医药科技有限公司怎么样? 仙佑集团口碑为什么这么好?
视觉盛宴:探索可视化大屏的无限魅力 世界独家
1.动态数组
TMC2160步进电机驱动芯片
简易视频直播系统的搭建实践
TF无法识别问题分析_环球观速讯
【环球聚看点】数据真空期机构情绪持稳 日债收益率多数小幅回落
世界滚动:收评:五月收官!创业板指跌超1% 英伟达概念股活跃
全球观焦点:2099元!尼康尼克尔Z DX 24mm f/1.7正式发布:夜拍画质绝
最新快讯!新掌机或将用上:高通与索尼、任天堂磋商掌机芯片
vivo S17系列发布:拍人像最好的手机 2499元起
微速讯:269元 vivo TWS Air Pro耳机发布:3D全景音频、续航长达30小时
前置5000万广角柔光!vivo S17 Pro图赏
绍兴二手车交易市场1万2万_绍兴二手车交易市场
别再满屏找日志了!推荐一款 IDEA 日志管理插件,看日志轻松多了!
docker安装redis-世界快讯
天天即时:方萍萍:黄金短期应该是要调整一下
华为最贵笔记本!MateBook X Pro微绒典藏版开卖:13999元
AI可能灭绝人类!ChatGPT之父发出警告:三巨头AI公司CEO力挺-全球快看点
【播资讯】九年造一车!贾跃亭感谢李想支持:期待来FF洛杉矶总部交流指导
两年前魅族18系列“宝刀未老”!获Flyme 10首个稳定版全量推送
女子酒驾后谎称喝了藿香正气水 结果被一招识破 环球动态
人物传记《当今奇人周兴和》七十二 春风得意马蹄急 新视野
每日资讯:基于 Web 实现 m3u8 视频播放的简单应用示例
【经验分享】锐捷EVE在火狐游览器中,取消一律打开此应用的选项,重新选择默认打开应用,如SecureCRT-动态焦点
当前讯息:淘宝太细了:mysql 和 es 的5个一致性方案,你知道吗?
世界热点!2022 Kube-OVN开源社区年度报告
天天视讯!可配置Modbus网关 嵌入式设备联网解决方案
从三岁到八十二岁的武则天(转载)---王晓磊著 之简介|每日视讯
现场视频可怕!四川一特斯拉撞飞路人致身亡:被撞者腾空而起-热门
6月1日开市!大观园早市回来啦