weixin_45382875的博客

基础入门-加密编码算法小迪安全062021/6/24前言：  在渗透测试中，常见的密码等敏感信息会采用加密处理，其中作为安全测试人员必须了解常见的加密方式，才能为后续的安全测试做好准备，本次课程将讲解各种加密编码等知识，便于后期的学习和发展。常见加密编码等算法解析MD5、SHA、ASC，进制，时间戳，URL，BASE64，Unescape，AES，DES等常见加密形式算法解析直接加密，带salt，带密码，带偏移，带位数，带模式，带干扰，自定义组合等常见解密方式（针对）枚举，自定义逆向算法

基础入门-系统及数据库等小迪安全052021/6/24前言：  除去搭建平台中间件，网站源码外，容易受到攻击的还有操作系统，数据库，第三方软件平台等，其中此类攻击也能直接影响到Web或服务器的安全，导致网站或服务器权限的获取。操作系统层面识别操作系统常见方法通过网站或通过扫描相关软件识别大小写对网页都没有影响（windows服务器不受影响，Linux服务器受影响）nmap探测操作系统（使用-O选项可启用操作系统探测）其他扫描工具探测简要两者区别及识别意义网站路径、大小写、

基础入门-WEB源码拓展小迪安全042021/6/24前言：  Web源码在安全测试中是非常重要的信息来源，可以用来代码审计漏洞也可以用来做信息突破口，其中Web源码有很多技术需要简明分析。比如：获取某ASP源码后可以采用默认数据库下载为突破，获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等，总之源码的获取将为后期的安全测试提供了更多的思路。知识点：关于Web源码目录结构关于Web源码脚本类型关于WEB源码应用分类关于Web源码其他说明关于Web源码目录结构数据库配

基础入门-搭建安全扩展小迪安全032021/6/23设计知识：常见搭建平台脚本启用ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境域名IP目录解析安全问题IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息，而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问，域名访问的时候一般只会指向绝对路径的目录，IP访问的时候会指向绝对路径目录的上一级目录。常见文件后缀解析对应安全指定后缀名对应某个文件，访问网站出现遇到不能解析的文

小迪安全022021/6/23HTTP/S 数据包HTTP和HTTPS具体区别？#Request 请求数据包#Response 返回数据包#Request 请求数据包#Proxy 代理服务器#Response 返回数据包注意：可以通过代理串改两边输入输出数据httpHTTPTCPIPhttpsHTTPSSL or TLSTCPIPhttp:则抓到的数据是明文https：抓到的是加密后的HTTP简

小迪安全012021/6/22域名域名注册商：阿里云、万网、一级域名：baidu.com二级域名：news.baidu.com三/多级域名：shehui.news.baidu.com域名与安全测试：如果一级域名不能突破，可以从其它级域名下手DNS与HostDNS 域名系统（服务）协议  是一种分布式网络目录服务，主要用域名与IP地址的相互转换，以及控制因特网的电子邮件的发送。  域名系统。用来把机器名字转换成IP地址。简单来说，全球有很多域名服务器，用来存储从域名到IP地址的映射。