点击进入!

点击注册

@ 棋牌游戏大厅【安全菠菜系列】王者归来总不能让我直接说这是渗透吧

你的位置：网上棋牌游戏 > 真人ATT金皇冠游戏 >

棋牌游戏大厅【安全菠菜系列】王者归来总不能让我直接说这是渗透吧

发布日期：2023-11-04 05:13 点击次数：109

【安全菠菜系列】王者归来，总不能让我直接说这是渗透吧

“人生不相见，动如参与商。今夕复何夕，共此菠菜圈。”

好久没在菠菜圈里写文章了，也是因为之前在忙其他事情。不知道当初我的那些喜欢我软文的读友还在不在，毕竟久别重逢内心还有些激动。首先因为菠菜圈主要还是写一些相关性的文章，所以这次我只能勉勉强强写一些你们可能会感兴趣的文章，要是想看其他内容，欢迎去知乎上看，说不定能找到我匿名写的文章，毕竟知乎大神。

这次我主要讲web渗透安全。主要是讲安全哈，别以为是渗透，没工夫跟你们讲解。

首先大家要明白“什么是HTTP协议、请求|响应、HTTP请求方法、状态码、截取HTTP请求（基于Fidler工具）”，不明白也没关系，我跟大家讲解一下。

HTTP协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则，超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从web服务器传送到客户端的浏览器。

超文本传输协议（HTTP）是分布式、协作的、超媒体信息系统的应用层协议。

URL即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成。

在用户点击URL为https://www.bcquan.me/user/userzone/3107的链接后，浏览器和Web服务器执行以下动作：

1.浏览器分析超链接中的URL

2.浏览器向DNS请求解析www.bcquan.me的IP地址

3.DNS将解析出的IP地址107.154.196.91返回浏览器

4.浏览器与服务器建立TCP连接(80端口)

5.浏览器请求文档：GET /user/userzone/3107

6.服务器给出响应，将文档 user/userzone/3107发送给浏览器

7.释放TCP连接，浏览器显示user/userzone/3107中的内容

工作原理分四个过程：建立连接、发送请求信息、发送响应信息、关闭连接

HTTP请求方法(Method)是对所请求对象所进行的操作,也就是一些命令。请求报文中的操作有:

响应报文中的状态码(Status-Code)是响应报文状态行中包含的一个3位数字，指明特定的请求是否被满足，如果没有满足，原因是什么。状态码分为以下五类：

还有HTTP消息之类的，之所以讲这个，是因为稍后或者以后我要讲到信息搜索、信息探测、SQL注入漏洞深入讲解、文件上传漏洞讲解、XSS跨站脚本漏洞讲解、文件包含漏洞和其他漏洞。会在渗透入侵和防范上会进行更深入的讲解。这些只是基础。（本来想留到后面发的，奈何需要2000个字才能发布，只能继续再写了）

现在讲一下信息搜索、信息探测。

在进行安全测试以前，最重要的一步就是信息探测，也就是我们说的“踩点”。主要搜集哪些资料呢？

最主要的信息就是服务器的配置信息和网站的信息，其中包括网站注册人、目标网站系统、目标服务器系统、目标网站相关子域名、目标服务器所开放的端口和服务器存放的网站等。换句话说，就是只要与目标网站相关联的信息都是我们要收集的。

给你们一点参考文献，http://www.nxadmin.com/tools/584.html （安利一波）

然后就是搜索引擎，Google 是一个搜索引擎，常见的搜索引擎百度、搜狗等等

但是什么是搜索引擎呢？

搜索引擎是指根据一定的策略、运用特定的计算机程序从互联网上搜集信息，在对信息进行组织和处理后，为用户提供检索服务，将用户检索相关的信息展示给用户的系统。搜索引擎包括全文索引、目录索引、元搜索引擎、垂直搜索引擎、集合式搜索引擎、门户搜索引擎与免费链接列表等。

现指利用各种搜索引擎搜索信息来进行入侵的技术和行为；使用google中的一些搜索语法可以提供给我们更多的攻击者想要的信息。

Google常用语法：

案例

搜集子域名

语法：关键字site

搜索框输入：site:baidu.com

案例

搜集存在敏感信息的网站

语法：关键字intitle

搜索框输入：intitle:管理登录 filetype:php，在百度上去掉filetype,表示查询网页标题含有“管理登录”，并且为php类型的网站

案例

搜集URL中包含指定信息的网站

语法：inurl

搜索框输入：inur:asp?id=

案例

组合搜索

搜索框输入：site:xxxx.com inurl:login

信息探测嘛，当然也少不了工具，我给大家简单介绍一下工具Nmap，Nmap是一个开源的网络连接端扫描软件，用来扫描计算机开放的网络连接段，可以确定哪些服务运行在那些连接端，并且推断计算机运行哪个操作系统。另外，它用于评估网络系统安全。它是网络管理员必备的工具之一。它可以指定端口扫描、探测主机操作系统、穿透防火墙进行扫描等等。

我系Mango。愿在菠菜圈看到文章的你前途似锦、愿你在异国他乡光芒万丈。

业务如下：电话系统、短信系统、银行卡、安全监控软件、支付系统和劫持等。我的联系方式在文章下面图片的签名栏中，欢迎来扰！

站群论坛

365建站客服QQ：800083652

点击进入!

棋牌游戏大厅 【安全菠菜系列】王者归来总不能让我直接说这是渗透吧

【安全菠菜系列】王者归来，总不能让我直接说这是渗透吧

“人生不相见，动如参与商。今夕复何夕，共此菠菜圈。”

这次我主要讲web渗透安全。主要是讲安全哈，别以为是渗透，没工夫跟你们讲解。

首先大家要明白“什么是HTTP协议、请求|响应、HTTP请求方法、状态码、截取HTTP请求（基于Fidler工具）”，不明白也没关系，我跟大家讲解一下。

HTTP协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则，超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从web服务器传送到客户端的浏览器。

超文本传输协议（HTTP）是分布式、协作的、超媒体信息系统的应用层协议。

URL即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成。

在用户点击URL为https://www.bcquan.me/user/userzone/3107的链接后，浏览器和Web服务器执行以下动作：

1.浏览器分析超链接中的URL

2.浏览器向DNS请求解析www.bcquan.me的IP地址

3.DNS将解析出的IP地址107.154.196.91返回浏览器

4.浏览器与服务器建立TCP连接(80端口)

5.浏览器请求文档：GET /user/userzone/3107

6.服务器给出响应，将文档 user/userzone/3107发送给浏览器

7.释放TCP连接，浏览器显示user/userzone/3107中的内容

工作原理分四个过程：建立连接、发送请求信息、发送响应信息、关闭连接

HTTP请求方法(Method)是对所请求对象所进行的操作,也就是一些命令。请求报文中的操作有:

响应报文中的状态码(Status-Code)是响应报文状态行中包含的一个3位数字，指明特定的请求是否被满足，如果没有满足，原因是什么。状态码分为以下五类：

现在讲一下信息搜索、信息探测。

在进行安全测试以前，最重要的一步就是信息探测，也就是我们说的“踩点”。主要搜集哪些资料呢？

给你们一点参考文献，http://www.nxadmin.com/tools/584.html （安利一波）

然后就是搜索引擎，Google 是一个搜索引擎，常见的搜索引擎百度、搜狗等等

但是什么是搜索引擎呢？

现指利用各种搜索引擎搜索信息来进行入侵的技术和行为；使用google中的一些搜索语法可以提供给我们更多的攻击者想要的信息。

Google常用语法：

案例

搜集子域名

语法：关键字site

搜索框输入：site:baidu.com

案例

搜集存在敏感信息的网站

语法：关键字intitle

搜索框输入：intitle:管理登录 filetype:php，在百度上去掉filetype,表示查询网页标题含有“管理登录”，并且为php类型的网站

案例

搜集URL中包含指定信息的网站

语法：inurl

搜索框输入：inur:asp?id=

案例

组合搜索

搜索框输入：site:xxxx.com inurl:login

我系Mango。愿在菠菜圈看到文章的你前途似锦、愿你在异国他乡光芒万丈。

业务如下：电话系统、短信系统、银行卡、安全监控软件、支付系统和劫持等。我的联系方式在文章下面图片的签名栏中，欢迎来扰！

棋牌游戏大厅【安全菠菜系列】王者归来总不能让我直接说这是渗透吧