黑客专栏|花无涯带你走进黑客天下系列技能文章专栏——第四章
网络安全里常常说的一句话是未知攻焉知防,基本所有的安全职员也是一名黑客,在黑客攻击愈发普遍的本日,如何更好的防御黑客攻击?用句带有点哲学的话,成为黑客,只有成为黑客,像黑客一样思考,你才能知道从哪去防御黑客。同时学习技能理解技能非常主要,【花无涯带你走进黑客天下系列技能文章专栏】系列也会持续更新,想学习的支持一下 学习资料。
战役的时候,情报该当是最主要的一个成分之一了;
网络战役同理。
如果你有兴趣,对渗透测试/网络安全抱有非常大的激情亲切,你就会非常专注地去学习,会废寝忘食地汲取很多干系的知识,对一个站进行剖析攻击,或者投入到一些赛题研究,这样你的水平会增长得非常快。学习分享的都是一些赞助手段,包括学到的技巧都是同理,自己一定要研讨,不断的学习,同时渗透也好,入侵同样,都是须要有渗透思维、入侵思维,这个是每个人都不一样,用闇练了都会有自己的方法,海内国外有很多十几岁的大佬们,年纪轻轻就已经练就一身绝技,在网络空间里面来无影去无踪,靠的便是心里猖獗的热爱。
黑客专栏|花无涯带你走进黑客天下系列技能文章专栏——第四章
信息网络,要测试的站点明确① 站点信息:网络测试站点的,做事器信息,网站措辞,网站框架,是否有waf拦截目录构造:网络的办法有爬虫采集,目录扫描等等。剖析是否有备份文件,通用编辑器路径,网站框架漏洞。目录构造这一块有一个措辞要分外解释一下:网站.NET措辞开拓,MVC框架,Model(模型)View(视图)Controller(掌握器)简称MVC。
一定要实操,记得很早的时候都是用工具的脚本小子,刚入门学会用工具并不是什么坏事,可能更加小白一点的有些术语和方法更加的比较的难懂,这个不能成为什么主要的缘故原由,逐步来,术语这个些百度就好,学习方法一定要看好的分享和大佬的一些心得,这样帮助会更大,渗透测试都是前期用一些垃圾网站来玩,我这里就不提,后续会讲解。由于MVC框架开拓的网站,是要配置路由的,当然并不是只有MVC框架才能配置路由这个功能,普通站点也是可以的,碰着这样的目录构造希望能知道为什么是这样的路径 。接下来我讲点实战的过程中可能会碰着的问题和常用的一些手段。
黑客专栏|花无涯带你走进黑客天下系列技能文章专栏——第四章
① 邮箱/用户名等等:邮箱页面采集就好了,一样平常联系我们模块有。用户名怎么网络呢,一样平常网站揭橥文章会存在,作者。那就不好意思了作者一样平常便是网站用户啦。那网络出来干吗,结合上面的目录网络,是否有管理登录页面,是否可有考试测验爆破,弱口令探测等等,用工具合营肃清后台、登录地址,有些网站大略密码还是非常随意马虎破的,像zf。。啥啥啥的这里就不过多阐述了。
② 主机端口:探测开启的端口,比如PHPMYADMIN,FTP,3389,21,3306等这些可以爆破的,webservice地址,通用站点管理框架,tomcat,weblogic,别的端口是否存在站点(跳回目录构造),webservice(Web Service 的事情事理)是否泄露敏感信息(跳回邮箱/用户名) 直接考虑先看做事器,拿不下考虑迂回,通过同一做事器的多个站点,入侵旁站考虑下手,到达目标。
③ 子域名网络:有的站点会用二级域台乃至三级域名做后台(http://admin.xxx.com)或者二级域名站点不严谨,那么我们就可以进行旁站(如果主站存在CDN,可以利用二级域名获取真实IP),轻微功能多的站,又不想换域名多业务的都会有几级域名,这也是一个打破点。
④ Whios:Whios信息采集,分为注册人,域名反查 ,这个用站长工具即可,很多同类型的工具。百度在线就行。
⑤ 注册人信息:网络联系邮箱,联系人姓名,联系电话,注册地址,公司信息用网络到的信息进行社会工程学,社会工程学 这个要圈重点,网络黑白的书中有专门的章节重点的提到,同时凯文米特尼克的入侵的艺术 渗透的艺术 书作为启蒙教材 理解一下社会工程学还是很主要的,你会喜好上的。
⑥ 域名反查:根据联系人/注册名,来反查这个人注册的所有域名,方便下面剖析。
⑦ 站点信息网络:根据上面反查出来的站点进行站点比拟,是否跟要测试的站点有关联呢,共用程序,解析ip一样,用别的域名来昨晚主站的后台地址等等(跳转站点信息节点)
⑧ 信息比拟归档:便是信息归类,很多时候不缺少一朝顿悟,但是找干系站点取记不得哪去了啊,以是信息比拟归类很主要,自己一点要有习气网络整理本钱身的黑客字典。
任何人都一样,以是在发展的路上不用太过焦虑,沉下心来:单点打破。 总之很多东西你自己就会主动的去打仗了,一时肯定不能全部都罗列上来,反正这个时候你自己就知道该去研究什么了,或者也可能在这个时候溘然对逆向很感兴趣了,那就去学啊。总之学习途中这些问题都不是紧张问题,紧张问题归结起来实在可能是“如何能够一贯学下去”,也便是避免对兴趣的损失。
学会做条记在碰着很多题目或者是真实的渗透过程到时候,虽然当下你可能知道怎么去做,或者是用到了什么工具,但是如果你没有很好的做条记的话,往后你碰着同类型的题目或者渗透环境时你也会忘掉怎么去做。不论是学习还是事情,影象力好与否都该当保留精良的习气,我个人的分享,同时有更多的分享建议也可以互动磋商。
