渗透测试学习入门级基础知识总结(必备)
文章目录
- 前言
- 一、相关名词概念
- 1.域名
- 2.DNS
- 3.CDN (超级ping)
- 4.脚本语言
- 5.后门
- 6.web
- 7.web相关安全漏洞
- 二、数据包基础知识
- 1.https/数据包
- 2.request数据包
- 三、系统及数据库
- 1.操作系统层面
- 2.数据库层面
- 四、cdn相关技术
- 1.简介
- 2.如何判断目标存在CDN服务?
前言
对于之前所学基础知识的一个简单总结
一、相关名词概念
1.域名
万网域名注册
二级域名
多级域名
意义:在测试时多了一种可能性,通多寻找其他次级域名的漏洞,从而获取主站权限
2.DNS
域名系统的服务协议,用于域名和ip地址的相互转换
C:\Windows\System32\drivers\etc\hsots 重定向解析ip地址 地址+域名
3.CDN (超级ping)
内容分布网络,缓存节点技术. 与DNS关系 CDN:看地点
刷新DNS缓存命令 ipconfig /flushdns
常见DNS安全攻击 导致域名背恶意解析指向
4.脚本语言
Asp php javaweb aspx jsp py cgi
Phpweb框架 Django
5.后门
遗留后门,便于下次操作,类型多样 提供通道
服务器后门,网站后门
免杀:不被相关软件查杀
6.web
组成:网站源码 分脚本类型,分应用方向
操作系统 windows linux
中间件(搭建平台)apache iis tomcat nginx
数据库 access mysql mssql oracle sybase db2 postsql
7.web相关安全漏洞
(1)web源码类对应漏洞:sql注入,上传,xss,代码执行,变量覆盖,逻辑漏洞,反序列化等
(2)web中间件对应漏洞
(3)web数据库对应漏洞
(4)web系统层漏洞
(5)其他第三方对应漏洞
(6)app或应用结合类
二、数据包基础知识
1.https/数据包
Request 请求数据包 Response返回数据包
代理服务器 可进行双向修改
http/https
2.request数据包
(1)请求行由三个标记组成:请求方法.请求URL和HTTP版本
三、系统及数据库
1.操作系统层面
输入大小写判断,大小写敏感linux 反之windows
Nmap判断操作系统
2.数据库层面
ASP+Access php+mysql aspx+mssql jsp+mssql,oracle python+mongodb
端口扫描
四、cdn相关技术
1.简介
CDN 是构建在数据网络上的一种分布式的内容分发网。 CDN 的作用是采用流媒体服务器集群技术,克服单机系统输出带宽及并发能力不足的缺点,可极大提升系统支持的并发流数目,减少或避免单点失效带来的不良影响。
2.如何判断目标存在CDN服务?
(1)超级ping
#目前常见的CDN绕过技术有哪些?
子域名查询
邮件服务查询
国外地址请求
遗留文件,扫描全网
黑暗引擎搜索特定文件
dns历史记录,以量打量
#CDN真实IP地址获取后绑定指向地址
更改本地HOSTS解析指向文件
渗透测试学习入门级基础知识总结(必备)相关推荐
- 渗透测试工程师零基础学习教程2023年最新版,想入门学习这一篇就够了。
什么是渗透测试? 渗透测试是指通过模拟黑客攻击的方式,评估一个系统或网络的安全性能,以发现潜在的漏洞或安全弱点.渗透测试通常包括对目标系统或网络进行多种攻击方式的测试,如密码破解.漏洞利用.社会工程学 ...
- 网络安全系统教程+渗透测试+学习路线(自学笔记)
一.什么是网络安全 网络安全可以基于攻击和防御视角来分类,我们经常听到的 "红队"."渗透测试" 等就是研究攻击技术,而"蓝队"." ...
- Android 渗透测试学习手册 第一章 Android 安全入门
第一章 Android 安全入门 作者:Aditya Gupta 译者:飞龙 协议:CC BY-NC-SA 4.0 Android 是当今最流行的智能手机操作系统之一. 随着人气的增加,它存在很多安全 ...
- KALI LINUX渗透测试学习笔记
KALI LINUX渗透测试学习笔记 (苑房弘主讲) 第1章 课程介绍 任务1:Kali Linux渗透测试介绍.exe 安全问题的根源: 分层思想 只求功能实现 最大的威胁是人 渗透测试: 尝试挫败 ...
- web渗透测试学习路径图
Web渗透测试学习路线 一.基础知识 1.1 网络协议 <图解http> 1.2 编程语言 python 30 days for python go 1.3 Linux/Bash Over ...
- 渗透测试学习总体概括
渗透测试学习总体概括 一.相关内容 1.编程语言基础知识语法的一个掌握,对于编程的本身来讲没有区别.2.把一个想法变成一个工具或者功能.3.安全工程师的软件工程能力较弱,也不影响安全的能力.java的 ...
- 渗透测试培训-渗透测试学习些啥呀?
前言 1.学什么渗透测试? 必须具备网络基础.编程基础.数据库基础.操作系统等基本技能.如果的话可以从html.css.js.编程语言.协议包分析.网络互联原理.数据库语法等.在学习了这些基本技能后, ...
- 《机器学习》理论——速读学习1 基础知识
<机器学习>理论--速读学习1 基础知识 该系列文章系个人读书笔记及总结性内容,任何组织和个人不得转载进行商业活动! Time: 2021-12-05 学习目标:我需要了解神经网络除了工程 ...
- 学习编程基础知识,进阶成为更优秀的程序员
"脚本小子"常常从某些网站上复制脚本代码,然后到处粘贴,却并不明白其中的方法与原理 当你看到编程语言编进教材的时候,看到一个文科生也在编写Python程序进行数据分析的时候,你 ...
最新文章
- Python:进阶操作(1)
- sqlsugar 批量删除guid类型主键_SAP使用MASS批量修改主数据
- Android逆向笔记-大部分内购游戏破解思路
- java windows编程,以编程方式控制Windows媒体播放器,最好是从Java
- 本周新出开源计算机视觉代码汇总(含图像超分辨、视频目标分割、行人重识别、点云识别等)...
- Python爬虫有什么用,网友纷纷给出自己的答案,爬虫能做的还是很多的
- 数据库lib7第2, 3题(创建索引和触发器)
- LuaForUnity9:uLua的一个简单实例
- k8s的精简版k3s安装
- 电脑故障维修常见的故障整理,电脑小白必备!
- 支持商用,开源的商城系统,推荐给你
- PHP框架高级编程——应用Symfony、CakePHP和Zend
- android打包绕过签名,实战android打包和签名
- gis地图图层(前台)
- c语言不用加号怎么算加法,加法
- 爬虫基本概念(新手必看)
- 十大主流小说平台畅销榜TOP1:诡秘、剑来、元尊、赘婿流风云争霸
- Spring Security CSRF防御源码分析
- 通信算法之二十六:5G讲的这么简单明了
- 前端学习 之 JavaScript 之 JSON