Web渗透工具
Web渗透工具
text::Kali Linux
text::Web渗透
text::Web语言漏洞
一、VMware1 网络
编辑——虚拟网络编辑器。(每一个名称相当于一台交换机)
VMware网络模式:
桥接模式:和物理机并列,相当于在物理网中真的加入了一台主机。
仅主机模式:类似NAT模式,但是默认不连接外界。
NAT模式:流量通过物理机走向外界。
2 本地
虚拟机[右键]——快照——拍摄快照:备份。
虚拟机[右键]——快照——快到管理器:恢复虚拟机状态。
虚拟机[右键]——管理——克隆
文件——导出为OVF:导出
3 安装
Win10:
教程网址
工具网址
二、浏览器工具1 分类
The Searchable Subject Index:
索引式搜索,只搜索站点的 Title 和 Meta 信息,无法搜索个人主页。(例:Yahoo)
The Full-Text Search Engine:
完全内容搜索引擎,通过 Spider 搜索全面的信息。(例:Google)
2 Edge
命令:
在url前加 read: 会进入阅读模式。
edge: ...
Web渗透
Web渗透
注:后续漏洞的源码都是PHP
text::Web语言漏洞
text::Web渗透工具
渗透测试常用术语
〇、Web安全基础1 OWAPS
OWAPS(Open Web Application Security Project,开放式Web应用程序安全项目):提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。
official::OWAPS官网
漏洞类型(2017年 Top10):
注入:数据作为命令注入。
失效的身份认证:冒充身份。
敏感感数据泄露:数据泄露。
XML外部实体(XXE):全称为XML External Entity attack 即XML(可扩展标记语言) 外部实体注入攻击。
失效的访问控制:未身份认证但获得了权限。
安全配置错误:不安全的配置。
跨站脚本(XSS):脚本转义。
不安全的反序列化:反序列化。
使用含有已经漏洞的组件:漏洞利用。
不足的日志记录和监控:日志缺陷。
2 http协议
http协议主要用于传输 html 文本:URL(统一资源定位符)是一种特殊的URI(统一资源标识符)。
请求头:
Host
User-Age ...
Hello World
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
Quick StartCreate a new post$ hexo new "My New Post"
More info: Writing
Run server$ hexo server
More info: Server
Generate static files$ hexo generate
More info: Generating
Deploy to remote sites$ hexo deploy
More info: Deployment