賬號被盜,密碼簡單被破解
隱私洩露,資訊冒用
(在非法**是錄入個人資訊,其他**被攻擊導致資訊洩露
外快:src挖掘和hw行動
功能:滲透測試,安全服務,安全運維
滲透測試:遊戲 看門狗2
在授權的條件下,找到系統漏洞
學習路徑,網路基礎,http協議
計算機基礎,網路基礎,web漏洞,滲透測試
tcp/ip體系結構->傳輸層
http->應用層
什麼是ip協議?
內網和公網
公網可以和網際網路互通,不需要埠對映。
埠:馮諾依曼:port 邏輯埠,不同服務監視不同埠 0-65535個
80:http埠
25:郵件埠
bs架構:瀏覽器,伺服器
http:超文字傳輸協議,規定統一的規範
**攻擊?常見漏洞?
owasp組織
sql注入 xss 檔案上傳 反序列化 檔案包含 csrf 命令執行 資訊洩露 xxe ssrf 未授權訪問
sql注入:破壞資料庫
命令執行:
檔案上傳:上傳頭像,附件----》病毒
漏洞靶場 dvwa ->學習攻擊和修復方式
dvwa 搭建:php環境 和dvwa源**
2將dvwa放到www目錄下,然後對dvwa的config目錄進行配置dbuser和dbpassword為root root
3進入127.0.0.1/dawa
| ; & 無論前面的命令是否成功都要執行後面的命令
|| 僅在前面執行失敗,才執行後面的
&& 僅在前面成功後執行後面的
常用的cmd命令
whoami 檢視當前的使用者名稱
ipconfig 網絡卡資訊
shutdown -s -t 0 關機
net user [username] [password] /add 增加乙個新使用者
type [file_name] 檢視檔案內容
將 | ; & && || 變為空來過濾攻擊
滲透測試的解決方法:白盒 黑盒 是否能看到源**
去掉「\」,用 . 分割數字,判斷是否是四個數字和是否分割了四塊 來檢測ip 的檢查
檔案上傳漏洞
需要對檔案進行限制 webshell 後門檔案
小馬和大馬
php 的乙個木馬
<?php eval($_get[ 'pass ' ]);?>
外掛程式hackbar v2
f12後,載入位址,post data 輸入pass=system("????")
例如whoami,ipconfig~~~
防禦:限制檔案傳輸的型別,壓縮檔案,限制檔案大小,
對於檔案型別的限制 可以用抓包工具直接修改後,可繞過並成功上傳。
content-type 修改即可
所以需要獲取檔案的字尾名並加以限制,並獲取影象資訊的大小,如果上傳的不是,則會失敗報錯。
網安筆記4
操作環境虛擬機器win2003 1 使用者概述 2 內建帳號 給人使用的帳號 administrator 管理員 guest 來賓帳號 計算機服務元件相關的系統賬號 system 系統賬號許可權至高無上 local services 本地服務帳號許可權等於普通 network services 網路...
網安筆記5
1 ntfs許可權概述 對檔案資料夾設定許可權 2 檔案系統概述 檔案系統即在外部儲存裝置上組織檔案的方法 3 ntfs檔案系統特點 4 修改ntfs許可權 開啟方法 資料夾右鍵屬性 共享 設定共享名 設定共享許可權 在本地登入時,只受ntfs許可權的影響 在遠端登入時,將受共享及ntfs許可權的共...
網安團隊建設
網安產品線測試維護團隊 測試維護,需要有效完成研發內部測試任務,快速響應維護工作 測試維護,需要同產品線一道共同協作完成產品的研發測試,並有效跟蹤解決使用者現場問題,積極響應使用者合理需求。針對研發和市場,我們測試維護團隊應該完成以下三個方面工作,在研發內部的測試中,合理規劃保質保量完成測試任務,保...