小迪安全第二天

这篇具有很好参考价值的文章主要介绍了小迪安全第二天。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、Web应用,架构搭建

#网站搭建前置知识
域名,子域名,dns,http/https,证书等

二、web应用环境架构类

理解不同web应用组成角色功能架构
开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
程序源码:根据开发语言分类;应用型分类;开源cms分类;开发框架分类等
中间件容器(相当于支撑网站的运行):IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
数据库类型(储存网站/用户信息等):Acess,mysql,oracle,db2,Sybase,redis,mongodb等

服务器操作系统:windows系列,linux系列,mac系列等
第三方软件:phpmyadmin,vs-ftpd,vnc,elk,openssh等
宝塔里集合里面的各种中间件等

三、web应用安全漏洞分类

Sql注入,文件安全,RCE执行,xss跨站,csrf/ssrf/crlf,反序列化,逻辑越权,未授权访问,xxe/xml,弱口令安全等----产生于程序源码

web请求返回过程数据包参考:
https://www.cnblogs.com/cherrycui/p/10815465.html

https://www.jianshu.com/p/558455228c43

模拟器访问和电脑访问不同
User-agent代表了不同客户端的访问可能是手机端或电脑端
(逍遥模拟器相当于手机访问)
可以利用抓包工具bp实现手机端访问电脑端浏览器。
小迪安全第二天,小迪安全学习,安全

没设置代理
浏览器-服务器
设置代理
浏览器-代理-服务器
127.0.0.1 8080
Burpsuite 监听127.0.0.1 8080

Burp拦截后选择性的进行丢弃或放行

在虚拟机上使用burpsuite时,要设置代理为本地的ip地址如192.168.1.1 8080不能使用127.0.01 8080,因为虚拟机作为了一个独立的系统而存在找的话相当于在它虚拟系统里寻找所以经常会导致抓包失败。

状态码判断文件是否存在
小迪安全第二天,小迪安全学习,安全

文件夹判断是403存在404不存在
文件200存在404不存在
3xx跳转 处置过程 判断可有可无
5xx 内部错误 服务器问题 判断可有可无

查询ip:https://www.ip138.com/
可利用买代理(相当于远程服务器),解决拉黑ip和封ip

总结

冲!文章来源地址https://www.toymoban.com/news/detail-792000.html

到了这里,关于小迪安全第二天的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 小迪安全培训2023期笔记汇总-持续更新

    课件内容以及部分复现 章节内容 应用架构:Web/APP/云应用/小程序/负载均衡等 安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等 渗透命令:文件上传下载/端口服务/Shell反弹等 抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等 算法加密:数据编码/密码算法/密码保护/反编译/加壳等 Web常规

    2023年04月23日
    浏览(43)
  • 小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

    # 知识点: 1 、中间件安全问题 2 、中间件文件上传解析 3 、 Web 应用编辑器上传 编辑器也就是第三方插件,一般都是文件上传漏洞 # 详细点: 1 、检测层面:前端,后端等 2 、检测内容:文件头,完整性,二次渲染等 3 、检测后缀:黑名单,白名单, MIME 检测等 4 、绕过技

    2024年03月16日
    浏览(60)
  • 小迪安全 第56天 服务攻防-数据库安全&H2&Elasticsearch&CouchDB&Influxdb 复现

    1.端口扫描 2.报错回显 时序数据库是近几年一个新的概念,与传统的Mysql关系型数据库相比,它的最大的特点是:数据按照时间顺序存储。 举例来说,日志数据,是以时间顺序存储的,所以用时序数据库存储是一种很好的选择。使用Mysql在存储的过程中,不是对这种基于时间

    2024年02月03日
    浏览(48)
  • 小迪安全 第15天:php开发-个人博客项目&登录验证&cookie&session&验证码安全

    1.后台验证-登录用户逻辑安全-怎么去判定用户登陆成功 2.后台验证-COOKIESESSION 3.后台验证-验证码·万能密码等 思路: 1.发送登录请求 账号 密码 2.接收账号密码 3.判断账号密码的准确性 正确 成功登陆-跳转成功页面 错误 失败登录-重新登陆 后台管理系统有多个文件页面,为了

    2024年04月15日
    浏览(75)
  • 小迪安全47WEB 攻防-通用漏洞&Java 反序列化&EXP 生成&数据提取&组件安全

    # 知识点: 1 、 Java 反序列化演示 - 原生 API 接口 2 、 Java 反序列化漏洞利用 -Ysoserial 使用 3 、 Java 反序列化漏洞发现利用点 - 函数 数据 4 、 Java 反序列化考点 - 真实 CTF 赛题 - 审计分析 # 内容点: 1 、明白 -Java 反序列化原理 2 、判断 -Java 反序列化漏洞 3 、学会 -Ysoserial 工具

    2024年04月10日
    浏览(64)
  • 小迪安全 第59天 服务攻防-中间件安全&CVE 复现&IIS&Apache&Tomcat&Nginx

    IIS现在用的也少了,漏洞也基本没啥用  没有和权限挂钩 windows 2003上面的漏洞 配置不当:该漏洞与 Nginx、php 版本无关,属于用户配置不当造成的解析漏洞。 这个跟文件上传类似,找到文件上传点,上传png图片 找到上传路径和nginx版本号 查看路径 添加后缀可以用php执行png

    2024年02月04日
    浏览(101)
  • 小迪安全25WEB 攻防-通用漏洞&SQL 读写注入&MYSQL&MSSQL&PostgreSQL

       #知识点:  1、SQL 注入-MYSQL 数据库  2、SQL 注入-MSSQL(SQL server) 数据库  3、SQL 注入-PostgreSQL 数据库  #详细点:  Access 无高权限注入点-只能猜解,还是暴力猜解           因为access的数据库是独立存在的,不存在统一管理 对账号密码进行猜解,此时只是获取到后台的操

    2024年02月20日
    浏览(59)
  • 小迪安全20WEB 攻防-PHP 特性&缺陷对比函数&CTF 考点&CMS 审计实例

    #研究对象 PHP代码漏洞(代码问题) # 知识点: 1 、过滤函数缺陷绕过 2 、 CTF 考点与代码审计 一、原理-缺陷函数-使用讲解-本地 内置函数: 大部分是比较函数(过滤时使用的函数) (1)、== 与 === : 参考: PHP 浅谈 == 和=== 中,数字和字符串比较的问题。_php 数字==字符串

    2024年01月19日
    浏览(56)
  • 小迪安全19WEB 攻防-.NET 项目&DLL 反编译&未授权访问&配置调试报错

    # ASPX 知识点: 1 、 .NET 配置调试 - 信息泄露 2 、 .NET 源码反编译 -DLL 反编译 3 、 .NET 常见安全问题 - 未授权访问 .NET:大部分都是通性漏洞;与java语言类似;本身被封装后,需要通过反编译获取之前的信息;大部分都是在windows上进行;#c是针对.net开发的,.net是一个开发框架;

    2024年01月21日
    浏览(64)
  • 【小迪安全】Day03基础入门-抓包&封包&协议&APP&小程序&PC应用&WEB应用

    有些应用是看不到的 手机app、微信小程序、PC应用 Windows、Linux 2.1.1抓包封包工具 Fiddler: 是一个 http 协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的 http 通讯,设置断点,查看所有的“进出”Fiddler 的数据(指 cookie,html,js,css 等文件)。 Fiddler 要比其他的

    2024年02月03日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包