【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-1

最新推荐文章于 2024-04-26 13:53:02 发布
原创 最新推荐文章于 2024-04-26 13:53:02 发布 · 2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #网络

本文介绍了Web安全的基础知识,包括域名记录查询、常见数据库、中间件、HTTP响应码的含义以及源码查找。此外,还涉及了数据库常用端口、加解密算法、CDN绕过技术和邮件服务查询技巧。同时,提到了AES加密的关键要素以及多种网络安全工具和方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【小迪安全】web安全|渗透测试|网络安全

第1-6天基础介绍

  1. 如何查看域名的A记录、MX记录、CNAME记录、NS记录

  2. 数据库:access、mysql、mssql、oracle、Sybase、db2、postsql

  3. 中间件(搭建平台):apache、iis、tomcat、nginx

  4. HTTP响应码:
    a) 1xxx:信息,请求收到,继续处理
    b) 2xxx:成功,行为被成功接受
    c) 3xxx:重定向,为了完成请求,必须进一步执行的动作
    d) 4xxx:客户端错误
    e) 5xxx:服务器错误
    f) 200 存在文件
    g) 403存在文件夹
    h) 3xx 均可能存在
    i) 404不存在文件及文件夹
    j) 500 均可能存在

  5. 源码查询:http://down.chinaz.com/
    菜鸟源码或直接百度

  6. 常用数据库端口
    1433 sqlserver
    1521 oracle
    1527 derby
    3306 mysql
    5432 pgsql
    5000 db2
    9092 pointbase
    无默认 Informix

  7. 加解密
    a)呵呵软件
    b)常见加解密算法解析
    MD5、SHA 、ASC、进制、时间戳、URL、BASE64、Unsecape、AES、DES
    c)常见加密形式算法解析
    直接加密、带salt、带密码、带偏移、带位数、带模式、带干扰、自定义组合等
    d)常见解密方式
    枚举、自定义逆向算法、可逆向
    e)常规加密算法特性
    长度位数、字符规律、代码分析、搜索获取

  8. AES加密:填充、数据块、密码、偏移量

  9. CDN绕过技术
    子域名查询
    www.get-site-ip.com

    搜索超级ping
    m.sp910.com(手机端查询)

邮件服务查询
邮件源码测试对比

国外地址请求
www.x.threatbook.cn

遗留文件,扫描全网

黑暗引擎shodan\zoomye\fofa搜索特定文件

Dns历史记录,以量打量(不经济不推荐)

扫全网:Fuckcdn、zmap

【小安全web安全渗透测试网络安全 | 学习笔记-6
youngerll的博客
01-02 1113
【小安全web安全渗透测试网络安全 | 学习笔记-6
【小安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1459
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
2021web安全笔记全套.zip
08-16
安全圈子知名讲师 小 2021最新教学的课堂笔记 教程还是挺不错的,很好入门。教程也比较新,有新的waf绕过方法以及代码审计,还有新的工具和渗透思维。
安全学习笔记--第32天:web漏洞-文件操作之文件下载读取全解
zr1213159840的博客
01-18 908
tips 文件被解析,是文件包含漏洞 显示源代码,是文件读取漏洞 提示文件下载,是文件下载漏洞 文件下载,读取的原理,检测,利用,修复等 文件下载:就是在一些网站存在下载的内容,但是如果不限制的话,会造成任意文件的下载 文件读取:能够访问看一些代码 检测:扫描工具或者扫描地址或者下载好的文件代码中去分析路径和包含文件,还可以通过文件名,参数值,目录符号等等,如下图所示 利用:工具,暴力破解后下载 修复: 利用 数据库配置文件下载或读取后续 数据库配置文件会存在数据库账号密码的相关信息 接口密钥信息文件下
渗透测试学习笔记(十一)WEB漏洞-必懂知识点
萧丶的博客
12-23 685
前言:本章节将讲解各种WEB层面上的有那些漏洞类型,具体漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! CTE,SRc,红蓝对抗,实战等 #简要说明以上漏洞危害情况 #简要说明以上漏洞等级划分 #简要说明以上漏洞重点内容 #简要说明以上漏洞形势问题 案例演示 pikachu环境搭建:https://github.com/zhuifengshaonianhanlu/pikach.
安全_web-2
weixin_44060420的博客
06-08 2476
知识点:1、CSRF-原理&危害&探针&利用等2、SSRF-原理&危害&探针&利用等3、CSRF&SSRF-黑盒下漏洞探针点#详细点:CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为OneClick Attack”或Session Riding",通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但自己的qg号或其他的号就被盗了。
安全笔记(web安全)
m0_57191657的博客
04-20 2998
雀雨网址1.https://www.yuque.com/glan/xiaodisec 2.https://www.yuque.com/weiker/xiaodi
Web安全学习笔记-Web-Sec Documentation
01-30
Web安全学习笔记——Web-Sec Documentation(以下简称Web-Sec Documentation)作为一份全面的Web安全指南,对于广大网络爱好者和专业人士来说,不仅是了解Web安全理论的基石,更是掌握网络安全技术的重要参考资料。...
安全笔记,详细版本
01-23
【小安全笔记】详细介绍了网络安全领域的多个关键知识点,涵盖了域名、DNS系统、CDN、DNS攻击、脚本语言以及后门等方面。 1. **域名**:域名是互联网上识别计算机或计算机组的名称,由点分隔的名字组成,如...
网络安全-渗透完整笔记
03-27
网络安全中的渗透测试是一种合法的、经过授权的模拟黑客攻击行为,旨在评估并增强网络系统安全性。渗透测试通过发现和利用系统中的弱点、技术缺陷或漏洞,帮助企业和组织识别潜在的安全风险,确保网络防御机制的有效...
【小安全web安全渗透测试网络安全 | 学习笔记-
youngerll的博客
01-04 5448
【小安全web安全渗透测试网络安全 | 学习笔记-
【小安全web安全渗透测试网络安全 | 学习笔记-4
youngerll的博客
12-30 3671
【小安全web安全渗透测试网络安全 | 学习笔记-4
网安学习(B站小安全
m0_57485346的博客
10-17 2117
安全网安学习
(2020上半年第21天(XSS跨站-XSS拓展))小网络安全笔记
u013630181的博客
12-04 637
链接①http://github.com/do0dl3/xss-labs 参考①http://blog.youkuaiyun.com/bul1et/article/details/86652232 参考②http://blog.youkuaiyun.com/spang_33/article/details/80930046 参考③https://www.freebuf.com/articles/web/129384.html
【小安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防35-40-XSS、CSRF、SSRF)
qq_46343633的博客
12-22 2262
1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS1、原理指改击者利用网程序对用户输入过不足,端入可以量示在页面上对其他用尸道成影响的HTML代码,从而盗取用户资料、利用用户具份进行某种动或者对访问者进行病毒侵害的一种攻击方式,通过在用户端注入恶意的可执行脚本,若服务器时用户的第人不进行处理或处理不严,则浏览器就会夏接执行用户注入的脚本。反馈与浏览。
安全15天:php开发-个人博客项目&登录验证&cookie&session&验证码安全
qq_65106718的博客
04-09 2236
1.后台验证-登录用户逻辑安全-怎么去判定用户登陆成功2.后台验证-COOKIE&SESSION3.后台验证-验证码·&万能密码等思路:1.发送登录请求 账号 密码2.接收账号密码3.判断账号密码的准确性正确 成功登陆->跳转成功页面错误 失败登录->重新登陆后台管理系统有多个文件页面,为了方便,一般会选用cookie或session进行验证cookie:身份验证 存储到客户端浏览器内cookie安全:cookie修改 伪造 盗取session:身份验证 存储到服务端服务器内。
渗透测试培训学习笔记汇总1(小安全
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-04 1689
域名系统(服务)协议(DNS)是一种分布式网络目录服务,主要用于域名与 IP 地址的相互转换,以及控制因特网的电子邮件的发送。后门是指恶意程序或代码,通过绕过正常的访问控制机制,使攻击者能够在目标系统中保持持久的访问和控制权限。后门通常被用于非法入侵、数据盗取、远程控制等恶意活动。常见的后门类型包括:逻辑后门:通过在代码中插入特定的条件或逻辑,使攻击者可以在特定条件下获得未授权的访问权限。(黑客遗留的后门文件,网站后门webshell)远程后门。
【小安全2023】第58天:服务攻防-应用协议&设备Kibana&Zabbix&远控向日葵&VNC&TV
最新发布
人若无名,便可专心练剑
04-26 1529
zabbix的漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。
安全基础~通用漏洞5
2514804004的博客
02-16 1190
CSRF,SSRF,网络地址转换NAT,构造CSRF网站,SSRF伪协议访问等
2020网络安全讲义及渗透测试笔记精要
总结来说,2020.V6小安全讲义和相关笔记不仅涵盖了网络安全的基础理论知识,还包括了实战中渗透测试的技巧和工具使用,是网络安全渗透测试学习者不可或缺的宝贵资料。通过系统学习和实践应用,安全专家能够更好...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值