web网络安全——网站入侵(一)
来源:互联网 发布:ps淘宝店标图片制作 编辑:程序博客网 时间:2024/04/20 17:43
前言:哈哈哈,Mark,硕士入学以来第一个渗透成功的网站,成功脱裤。都说研究生生活苦,确实是,从接到入侵网站都入侵成功整整半个月,纯属运气,首先网站很low,其次本人运气好,废话不多说,直接上过程。
- 入侵一般步骤
查询网站被入侵记录
查询途径:https://www.hac-ker.net/search.php?var=Heihu&page=3
https://www.seebug.org/ # seebug 第一手漏洞
http://wy.hxsec.com/ #乌云漏洞搜索
http://bigniu.com/bug/list #比戈大牛
http://0day5.com/ #漏洞时代
https://www.exploit-db.com/#kali 出版团队维护的漏洞数据库
如果可以查到,运气好的直接找到进入后台入口,或者找到自己的切入点;
查找到,但是没有找到相关的入口页面(可能需要付费),但是可以增加信心,增大以后自己入侵成功的概率。 - 获取网站基本信息
在获取网站基础信息之前需要确定网站的类型:
个人网站:侧重点是whois中注册人的信息(注册人也是管理员),放大量时间在收集注册人的社交网络中的各种信息(常用的昵称、用户名以及填写的个人信息、联系方式,发布动态或者帖子中的任何有用信息),目的是挖掘出后台的用户名与密码。(个人网站,后台猜密码入侵成功概率比较大)。
企业网站:侧重点是whois中DNS域名服务器(DNS缓存投毒) - 非技术应用web基本知识,对目标网站进行初步的了解(包括web框架、服务器等),对网站入侵难度有初步的了解;
基本步骤:
1) 结合浏览器前端调试功能(F12快捷键),抓包以及在线测试网站(https://builtwith.com/ ),获取网站框架、服务器类型;
2) Whois查询网站注册人基本信息,通过google查询信息(一般查10条左右)
3) 网站首页查看网页源代码:重要信息包括注释、http链接、表单提交、网站子网链接。
4) 对第三步找到的可疑链接,sql手工注入、form表单注入、利用whois信息后台登陆。 - 技术:非技术渗透失败后,辅助Nmap、kali等工具找到漏洞(目前渗透基础薄弱、能力不足,学习ing)
基本步骤:
1) Nmap 利用不同的参数,获取网站os类型、服务器或者WAF(nginx)、暴露的端口号;
2) 防火墙检测:kali linux 命令
3) 针对第一步查询得到的信息,上网查询相关漏洞利用(借助metasploit拥有的漏洞库)
4) 待学习补充完善中……… - 举例入侵网站分析
非技术入侵实例链接
技术性入侵实例链接
0 0
- web网络安全——网站入侵(一)
- web网络安全——网站入侵(二)
- web网络安全——网站入侵(三)
- Web入侵安全测试与对策学习笔记(一)——总览
- 那些年干过的事(一)——php电商网站入侵及防护
- SQL注入——网络安全问题不容忽视!(一)
- 网络安全基础(一)
- 入侵学习(一)
- ISCC2014 Web(网络安全)Writeup
- 网络安全(Web-safe)字体
- 现场纪实—如何入侵基于JSP的网站
- 网站入侵
- [网络安全一]--网络安全概论
- 网络安全知多少(一)
- web入侵
- SQL入侵基础知识(一)
- 如何成为一名黑客(网络安全从业者)——计算机基础知识篇
- 入侵基于JSP+Tomcat的Web网站实录
- 网站图片优化的方式解析
- 深入理解Java:类加载机制及反射
- 欢迎使用CSDN-markdown编辑器
- sql执行原理,过程详述
- Kaggle竞赛入门教程之Kaggle简介(新手向)
- web网络安全——网站入侵(一)
- eclipse中Server Tomcat v7.0 Server at localhost was unable to start within 45 seconds
- 如何才能写出软文有分量的标题
- seo优化我们常常需要思考的几个点
- 如何将PDF转为word
- 现如今seo优化的趋势
- LeetCode 472. Concatenated Words
- MySQL 隔离级别
- 设计模式-工厂方法模式