海妖 发表于 2015-1-14 21:16:51

来看看:web 渗漏流程

小知识:CentOS并不是第一个提供商业支持的RHEL克隆版,其他企业例如Oracle也提供了基于RedHat的自己的企业Linux发布版。
WEB浸透手艺流程
1.浸透方针
浸透网站(这里指定为www.xxx.com)
牢记,在浸透之前要签定协定。
2.信息搜集
倡议手动反省和扫描器选择同时举行。
2.1网站惯例检测(手动)
1:扫瞄www.xxx.com
开端断定网站的范例:比方银行,病院,当局等。
检察网站功效模块,好比是不是有服装论坛,邮箱等。
重点纪录网站一切的输出点(与数据库交互的页面),好比用户登录,用户注册,留言板等。
重点检察网站是不是用到了一些通用的模板,好比服装论坛选择了动网(dvbss),就有大概存在动网的毛病;邮箱有大概选择通用的邮箱体系,也有毛病。
2:剖析网站的url
使用搜刮引擎,搜刮网站的url,疾速找到网站的静态页面。比方site:urlinurl:xx.asp?id=
对网站的域名举行反查,检察IP,断定办事器上的域名数,假如主页面url检测没有毛病,能够对其他的域名举行检测。
3:检察代码
重点对输出代码(好比表单)举行剖析,看怎样来提交输出,客户端做了哪些输出的限定***。
埋没表单字段hidden
Username,Password等
4:控件剖析
Activex一般都是用c/c++编写
在页面上(一般是首页)的源码中搜刮,cab,dll等关头字,将cab下载上去后间接解紧缩,就能够失掉dll文件。
必要ComRaider+OD对dll文件举行反编译,看是不是有毛病。
改动步伐实行的路径,损坏ActiveX实行的输出确认,看web的回应。
5:对惯例的输出举行手动注进测试,测试是不是有sql注进和跨站毛病,试用惯例的用户名和暗码登录。
6:检察web办事器的版本,断定搜刮是不是有低版本办事器组件和框架的毛病,好比通用的Java框架Struct2的毛病。
2.2工具选择和利用
1:web使用步伐毛病扫描工具
Appscan:(版本7.8)
扫描毛病对照全,中文,毛病使用率高,检测速率慢,必要大批内存,重点保举。
AWVS:
英文,毛病库完美,检测速率慢。
JSky
中文,检测速率快,但深度一样平常。
Nessus
英文,检测速率较快,毛病也对照完美,收费,可实时更新,B/S界面。
2:端口扫描
Nmap
流光
3:口令破解工具
溯雪
4:sql注进工具
Asp+SqlServe,ACCESS:啊D注进工具
Php+MySQL:php+mysql注进工具(暗组的hacker栏中)
Jsp+ORACAL:CnsaferSI
撑持以上数据库Pangolin
5:http代办署理哀求
Paros
6:木马
灰鸽子
7:提权木马
一句话木马+年夜马(详细所用的木马参考文档和工具包(绿盟,暗组))
5:工具保举利用计划
Appscan扫描出的严重毛病,举行手工检测(注重看毛病是怎样发明的,修正毛病的代码,对浸透匡助很年夜)。
sql注进毛病
能够选用依据网站范例选择sql注进工具
假如是post哀求范例的url,选择利用paros代办署理后,修正http哀求包,举行注进。
WebDEV毛病
能够启用发送哀求(好比DELETE对方网页)
跨站毛病
间接将appscan的代码输出测试,乐成后,能够实验跨其他剧本(好比
遍历毛病:
检察网页的目次,下载网站设置文件信息,和源文件举行反编译
反编译:
Class能够选用java反编译工具
Dll(asp.net)选用Reflector
3.剖析并浸透
(最好是由计划来构成)
小知识:Linux是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。

金色的骷髅 发表于 2015-1-17 09:44:36

说实话小时候没想过搞IT,也计算机了解也只是一些皮毛,至于什么UNIX,Linux,听过没见过,就更别说用过了。?

变相怪杰 发表于 2015-1-24 21:44:40

再次,Linux是用C语言编写的,我们有学习C语言的基础,读程序和编写代码方面存在的困难小一点,也是我们能较快掌握的原因之一。?

再现理想 发表于 2015-2-2 15:09:52

虽然大家都比较喜欢漂亮的mm,但是在学 linux 的过程中,还是要多和“男人”接触一下:P 遇到问题的时候,出来看说和上网查之外,就是要多用 linux 下的 man 命令找找帮助。

愤怒的大鸟 发表于 2015-2-8 02:26:22

一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了,因为有的头文件在VC里面说找不到。?

小女巫 发表于 2015-2-24 13:25:50

Linux的成功就在于用最少的资源最短的时间实现了所有功能,这也是符合人类进化的,相信以后节能问题会日益突出。

深爱那片海 发表于 2015-3-7 13:15:49

你需要提供精确有效的信息。Linux这并不是要求你简单的把成吨的出错代码或者数据完全转储摘录到你的提问中。

不帅 发表于 2015-3-15 07:41:21

首先Linux是开源的,这也是最主要的原因,想学windows,Unix,对不起我们没源代码。也正是因为这样,Linux才能够像滚雪球一样越滚越大,发展到现在这种规模。

莫相离 发表于 2015-3-22 00:17:12

熟悉系统的基本操作,Linux的图形界面直观,操作简便,多加上机练习就可熟悉操作,在Linux下学习办公软件等常用软件。
页: [1]
查看完整版本: 来看看:web 渗漏流程