Python全栈(五)Web安全攻防之2.信息收集和sqlmap介绍

最新推荐文章于 2025-05-24 11:34:51 发布
最新推荐文章于 2025-05-24 11:34:51 发布
阅读量4.4k 收藏 10
点赞数 5
CC 4.0 BY-SA版权
分类专栏: Python全栈 文章标签: Python全栈 Web安全攻防 信息收集和sqlmap介绍
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CUFEECR/article/details/104279861
本文介绍了Web安全中的信息收集技术,包括如何判断CDN和获取真实IP,以及利用Shodan搜索引擎进行信息收集。此外,详细讲解了SQLMap的用途、特点和使用方法,并提供了搭建测试环境的步骤,包括安装phpStudy、sqli-labs和DVWA。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、真实IP地址收集

1.CDN介绍

CDN的全称是Content Delivery Network,即内容分发网络
其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。
其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,提高用户访问网站的响应速度。
CDN的优势

  • CDN节点解决了跨运营商和跨地域访问的问题,访问延时大大降低;
  • 大部分请求在CDN边缘节点完成,CDN起到了分流作用,减轻了源站的负载。

劣势
不能访问到真实的IP。
更进一步的介绍可参考https://www.cnblogs.com/xinxiucan/p/7832368.html
扩展——负载均衡
负载均衡(Load balancing),是一种计算机技术,用来在多个计算机(计算机集群)、网络连接、CPU、磁盘驱动器

了解本专栏 订阅专栏 解锁全文 超级会员免费看
PythonWeb安全攻防之3.sqlmap的使用介绍
CUFEECR的博客
02-27 5255
SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;Sqlmap的输出信息按从简到繁共分为7个级别依次为0、1、2、3、4、56;sqlmap获取目标的方式有直连数据库、指定目标URL读取不同文件类型进行SQL注入3种方式。sqlmap设置请求参数的类型包括HTTP方法、设置post提交参数、设置cookie参数、设置user-agent、设置代理、设置延迟、设置超时、设置超时重试次数、设置随机参数、设置忽略401避免被屏蔽等。
PythonWeb安全攻防之5.sqlmap检索DBMS信息SQL注入
CUFEECR的博客
03-03 4885
sqlmap检索DBMS信息包括检索DBMS banner、当前数据库、当前主机名用户信息(当前用户是否是DBA、用户密码、所有用户权限等)等;sqlmap枚举信息包括列举数据库名、数据库表、数据表列、数据值、schema信息、数据表数量,截取数据信息,设置条件获取信息,暴力破解数据,检索所有信息等;SQL注入原理包括简单介绍、危害、分类、形成原因、过程等;HackBar插件包括在谷歌火狐的安装;SQL注入包括GET、POST请求get基于报错的SQL注入。
Web第3讲 - 信息收集 - sqlmap
Yauger的博客
02-11 375
一、sqlmap Sqlmap是一个开源的渗透工具,它可以自动化检测利用SQL注入缺陷以及接管数据库服务器的过程。他有一个强大的检测引擎,许多适合于终极渗透测试的小众特性广泛的开关,从数据库指纹、从数据库获取数据到访问底层文件系统通过带外连接在操作系统上执行命令 官方网址:http://sqlmap.org/ 1.1 Sqlmap特点 完支持MySQL、Oracle、PostgreSQL...
Web网络安第二讲(信息收集&sqlmap介绍
luobofengl的博客
02-29 313
信息收集&sqlmap介绍 真实IP地址收集 shodan介绍搜索 shodan命令行使用介绍 Python-shodan使用 Sqlmap介绍 搭建测试环境 课堂总结
一网打尽!20种绕过CDN查找真实IP的实用方法
最新发布
A1_3_9_7的博客
05-24 1057
CDN,这玩意儿,说白了就是个“障眼法”。但想搞网络安,就得练就“火眼金睛”,穿透迷雾,直捣黄龙!今天,咱就来聊聊如何绕过CDN,揪出那些藏起来的网站真实IP。
【安知识】——如何绕过cdn获取真实ip
Demo不是emo的博客
02-19 8815
绕过cdn获取目标真实ip的姿势汇总
[信息收集]11种绕过CDN查找真实IP方法【转载】
baguangman5501的博客
08-07 3452
今天在看一些有关CDN的文章的时候,发现一篇写的蛮好的文章,故转载过来。 原文链接:https://www.cnblogs.com/qiudabai/p/9763739.html 0x01 验证是否存在CDN 1.1 方法1: 很简单,使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 网站有: http://ping.china...
绕过CDN查找网站真实IP
大河之犬的博客
03-16 965
CDN作用:1、CDN加速可以保证用户在任何地方都能够快速访问服务器资源2、CDN的负载均衡分布式存储技术,可以加强网站的可靠性3、可以异地备援,当某个服务器发生意外故障时,系统将会调用其他临近的健康服务器节点进行服务。
PythonWeb安全攻防之4.sqlmap性能优化注入技术参数
CUFEECR的博客
03-01 6432
sqlmap性能优化包括设置持久HTTP连接、设置不接收HTTP Body设置多线程;sqlmap自定义检测参数包括用--level设置检测等级用--risk设置风险等级;sqlmap设置指定注入参数用-p,当注入点位于URI本身内部时使用*指定注入点;sqlmap强制设置DBMS用--dbms,强制设置OS系统用--os,强制设置无效值替换包括设置大整数、布尔值随机字符串,去并且可以使用前缀后缀自定义注入负载位置,可以设置Tamper脚本DBMS认证;可以设置SQL注入技术查询的其他参数。
PythonWeb安全攻防之6.SQL注入绕过
CUFEECR的博客
03-05 4382
盲注是注入攻击的一种,向数据库发生true或false这样的问题,并根据应用程序返回的信息判断结果,分为布尔盲注时间盲注,GET基于时间的盲注包括判断注入点、判断数据库长度数据库名字,GET基于Boolean的盲注包括判断数据库长度数据库名字,可以用sqlmap进行安测试;POST 注入包括错误注入(单引号注入、双引号注入)、基于时间的注入基于布尔的注入,也可以可以用sqlmap进行安测试;SQL注入绕过手段包括大小写绕过、双写绕过、编码绕过内联注释绕过。
绕过CDN寻找真实IP的8种方法
热门推荐
05-25 2万+
正常情况下,通过cmd命令可以快速找到域名对应IP,最常见的命令如ping、nslookup。但很多站点出于用户体验的角度,使用CDN加速,将域名解析到CDN,这时候就需要绕过CD...
绕过CDN寻找网站真实IP的方法汇总
zhaogao的专栏
05-09 2197
绕过CDN寻找网站真实IP的方法汇总
WindowsLinux系统查看端口文件占用
A1_3_9_7的博客
03-21 849
在Windows环境中要知道当前端口被哪个进程所占用,或者是查看当前系统网络的会话连接,操作如下:(1)、查看端口被那个进程ID(PID)所占用查看指定端口,使用命令:netstat -ano | findstr “445”上边这个445端口当前正在监听0.0.0.0地址,可以看到占用进程PID为4findstr更多用法可以通过findstr /?查看(2)、通过PID查看进程上边已知进程PID为4,使用命令:tasklist | findstr "4"查找进程。
【CDN绕过篇】部署CDN的网站如何找真实IP
旺仔Sec&blog
04-25 7614
目前很多网站使用了cdn服务,用了此服务 可以隐藏服务器的真实IP,加速网站静态文件的访问,而且你请求网站服务时,cdn服务会根据你所在的地区,选择合适的线路给予你访问,由此达网站加速的效果,cdn不仅可以加速网站访问,还可以提供waf服务,如防止cc攻击,SQL注入拦截等多种功能,再说使用cdn的成本不太高,很多云服务器也免费提供此服务。可以通过互联网络信息中心的IP数据,筛选目标地区IP,遍历Web服务的banner用来对比CDN站的banner,可以确定源IP。
测试工具-sqlmap
weixin_42902126的博客
06-27 6548
sqlmap支持直连,通过以下命令来直连。 1、服务型数据库:mysql,oracle,sqlserver,postgresql等 服务型数据库(前提知道数据库用户名密码): mysql数据库root账户默认不支持外链,参考文档:https://qa.1r1g.com/sf/ask/3435601921/ 2、文件型数据库:sqlite,access,firebird等 文件型数据库(前提知道数据库绝对路径)sqlmap获取目标 单一url探测 参数使用 -u 或 --url URL格式:http(s
绕过CDN查找真实IP方法
m0_74885516的博客
09-14 2034
CDN原本的目的是为了改善互联网的服务质量,提高访问网站速度,然而有些违法网站用了此技术,对我们的取证侦破带来不少麻烦,通过以上介绍一些简单的方法,可以有一定概率查找出CDN背后的真实服务器IP。在办案过程中,如果确认了是国内的CDN厂商的话,也可以尝试去调正。
【開山安笔记】如何绕过CDN寻找真实IP?
xnxqwzy的博客
03-23 933
本篇博客核心介绍了CDN,DNS的概念以及nslookup这一工具的简易使用。还有其他绕过CDN的方法我们没有涉及,比如利用Fofa或者Shodan网络空间搜索引擎,这些工具我之前在【粗心程序员,后台惨遭删库勒索】这篇文章有用到过,感兴趣的小伙伴可以去看看。知识靠积累,目前先总结如上信息
作业3:使用 sqlmap 获取数据库信息
diligent_lee的博客
07-20 5340
作业三 1. 环境准备 在安装好 Python 的环境下运行以下命令安装 sqlmap: pip install sqlmap 安装 Python3 中用于连接 MySQL 服务器的一个库: pip install pymysql sqlmap 直连数据库测试: sqlmap -d mysql://root:cugjsj123@localhost:3306/login -f --banner 参数解释如下: -d:直连数据库,后面跟着连接信息。mysql://用户名:密码@主机名:
DBMS python
08-14
Python可以支持多种数据库管理系统,例如MySQL、OracleSQL ServerPostgreSQL等1。为了实现对这些DBMS的统一访问,Python遵循DB API规范,该规范提供了数据库对象连接、对象交互异常处理的方式,为各种DBMS提供了统一的访问接口。在Python中,我们可以使用多个库来实现对数据库的访问,比如MySQLdb、mysqlclient、PyMySQL、peeweeSQLAlchemy等。其中,mysql-connector是MySQL官方提供的驱动器,用于与后端语言(如Python)建立连接。如果你想获取后端数据库的banner信息,可以使用sqlmap工具的--banner或者-b参数进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Python操作mysql](https://blog.csdn.net/yangning_/article/details/116788537)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [PythonWeb安全攻防之5.sqlmap检索DBMS信息SQL注入](https://blog.csdn.net/CUFEECR/article/details/104637404)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东哥说AI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值