最新公告
  • 欢迎您光临起源地模板网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入钻石VIP
  • 如何正确的进行网站入侵渗透测试

    正文概述 掘金(HBhan)   2021-07-24   716

    大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。

    简单枚举一些渗透网站一些基本常见步骤:

    一 、信息收集

    要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等

    二、收集目标站注册人邮箱

    1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。4.社工找出社交账号,里面或许会找出管理员设置密码的习惯 。5.利用已有信息生成专用字典。6.观察管理员常逛哪些非大众性网站,看看有什么东西

    三、判断出网站的CMS

    1:查找网上已曝光的程序漏洞并对其渗透2:如果开源,还能下载相对应的源码进行代码审计。

    3.搜索敏感文件、目录扫描

    四、常见的网站服务器容器。

    IIS、Apache、nginx、Lighttpd、Tomcat

    五、注入点及漏洞

    1.手动测试查看有哪些漏洞

    2.看其是否有注入点

    3.使用工具及漏洞测试平台测试这个有哪些漏洞可利用

    六、如何手工快速判断目标站是windows还是linux服务器?inux大小写敏感,windows大小写不敏感。

    七、如何突破上传检测?1:宽字符注入2:hex编码绕过

    3:检测绕过

    4:截断绕过

    八、若查看到编辑器

    应查看编辑器的名称版本,然后搜索公开的漏洞

    九、上传大马后访问乱码

    浏览器中改编码。

    十、审查上传点的元素

    有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。

    十一、15:某个防注入系统,在注入时会提示:系统检测到你有非法注入的行为。已记录您的ip xx.xx.xx.xx时间:XXXX提交页面:xxxx提交内容:and 1=1

    可以直接用这个防注入系统拿到shell,在URL里面直接提交一句话,这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。

    十二、发现上传路径并返回txt下载地址

    下载漏洞,在file=后面 尝试输入index.php下载他的首页文件 然后在首页文件里继续查找其他网站的配置文件 可以找出网站的数据库密码和数据库的地址。

    十三、若根目录下存在/abc/目录 并且此目录下存在编辑器和admin目录

    直接在网站二级目录/abc/下扫描敏感文件及目录。

    十四、后台修改管理员密码处,原密码显示为*

    我们可以审查元素 把密码处的password属性改成text就可以明文显示了

    十五、目标站无防护,上传图片可以正常访问,上传脚本格式访问则403.什么原因?原因很多,有可能web服务器配置把上传目录写死了不执行相应脚本,尝试改后缀名绕过

    十六、扫描网址目录

    使用软件查看他的目录,没准会扫出后台地址等敏感目录

    十七、若扫描出后台目录

    可对其进行密码爆破 尝试对我们搜集的管理员信息常用密码对后台进行密码尝试

    以上就是脚本之家小编为大家整理的关于网站入侵渗透测试的正确知识,需要的用户快来试试吧,想了解更多精彩教程请继续关注脚本之家网站!

     

    如何正确的进行网站入侵渗透测试


    起源地下载网 » 如何正确的进行网站入侵渗透测试

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    模板不会安装或需要功能定制以及二次开发?
    请QQ联系我们

    发表评论

    还没有评论,快来抢沙发吧!

    如需帝国cms功能定制以及二次开发请联系我们

    联系作者

    请选择支付方式

    ×
    迅虎支付宝
    迅虎微信
    支付宝当面付
    余额支付
    ×
    微信扫码支付 0 元