E企盈营销工具技术服务商 热线:4006-838-530

卑微小白

E企盈直播平台营销卖货系统

我承认我自己是有些懈怠了,被周围的种种事物诱惑着,而我确实高估了自己!进入正题。Phpstudy我的理解就是一个写网站的工具,然而,真的很好用你需要在WWW的目录下找到index.php,将你网页的源码写到里面,我就写个最简单的(其他的我也不会!!!嘤嘤嘤~~~)然后启动你的Phpstudy然后用网址localhost或者127.0.0.1去访问一下这就是访问成功了,Hello World被成功打印了出来然后PhpMyAdmin这个文件夹 就是他数据库管理的一个软件然后我访问了一下这是他的一个默认数据库,然后sql文件的导入导出也是在这里,与数据库连接之后,web网站才算真正的搭建好了,才是一个动态网站下面就是把我学的自闭了的Web安全:肉鸡:被植入木马的电脑或者服务器等联网设备软件木马:远程软件的被控端(exe文件)脚本木马:脚本语言编写的被控端(asp,php)服务器:提供计算机服务的设备IP:代表计算机的一个网络地址(学会了查自己的IP~~~)然后校园网原来是内网 ,它会分配给你一个IP端口:设备与外界通讯交流的出口入侵:利用服务器方面的漏洞技术压力测试(DDos,CC攻击):利用流量资源攻击服务器常见的http状态码:200:客户端请求成功302:重定向400:客户端请求有语法错误,不能被服务器理解401:请求未经授权403:服务器收到请求,但是拒绝提供服务404:请求资源不存在500:服务器内部出错503:服务器当前不能处理客户端请求,一段时间恢复正常敲了一编,但是嘛,没记住正不是正常嘛~~~HTTP协议与HTTPS协议的区别HTTP是超文本传输协议,信息是明文传输,而HTTPS则是具有安全性的SSL加密传输协议。HTTP和HTTPS使用不同的连接方式,HTTP使用80端口,而HTTPS使用443端口。HTTPS协议需要ca申请证书,这种证书免费的很少,需要交费,而HTTP却不需要。HTTP连接相当简单,是无状态的,而HTTPS协议是由SSL+HTTP协议构建的可进行加密传输,  身份认证的网络协议,具有更高的安全性。还有三种请求方式GET:简单定义:提交的数据在网址(URL)中显示。POST:简单定义:在数据包的底部显示(肉眼看不见)Cookie:简单定义:存储在用户客户端中的数据渗透测试流程:常见漏洞:1.SQL注入(SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这段来自百度百科,因为在大佬眼里,认为我们知道这个~~~ )2.XSS(没有对上传内容进行过滤,会被获取到cookie电脑会把你访问的cookie保存到本地,你就可以用XSS弹自己的Cookie,也可以把XSS上传到它的服务器,有管理员点开这个,XSS就会执行,你就会获取到管理员的Cookie,用管理员的Cookie登录,你就是管理员了)3.文件上传(上传图片,一般是头像,会被检测,长,宽,高之类,会防止恶意文件的上传,,比如木马,会检测你的文件后缀名,一般图片都是jbg,木马一般都是php,会被删掉,但是你如果用双写,一次过滤的结果却还是上传了php的文件,可以去靶场练习)4.文件包含(php的文件包含,是一个全局变量,通过文件上传木马上去,不仅在此程序执行,还可以调用其他程序,上传找不到,就可以用本地文件包含找自己上传的文件,上传的文件要知道它的路径,才可以访问它,如果没有路径,就可以用文件包含)5.命令执行(对服务器上传木马,就可以命令执行,调用它的cmd,或者提升自己的权限,就可以进行一些操作)6.弱口令(页面没有什么漏洞,但是它的后台登录界面可能有弱口令漏洞,用弱口令字典就可以实现)常用工具:google(它可以批量检索,听说谷歌可以翻墙,谷歌爬虫也不违法,有机会,,,,,嘿嘿!!!)Burpsuit(抓包,改包,丢包)Proxy的功能,它是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许我们拦截,查看,修改在两个方向上的原始数据流。Awvs(常用的漏洞扫描软件)Nessus(偏专业方面,全球使用最多,每时每刻,漏洞库都在更新,感觉很牛逼的亚子!!!!!)Sqlmap(对单个漏洞进行扫描,比如SQL注入,对注入类型,对防火墙进行简单的绕后,它是用python2写的,还分等级,一级检测普通注入,2级检测初级盲注,3级会驻点,比如检测http协议包里的Cokie注入进行检测,4级,5级。。。等级越高时间肯定就越长嘛,他会对你的数据库类型,注入类型,还特别容易被发现,因为你频繁的访问这个网站,增加被发现的可能性)Namp(属于信息收集,比如你知道它的域名,然后扫描对方开了什么端口,还可以端口爆破)常用语言:PHP(比如PHP输入流,反序列化)Python(功能性很强,丰富的第三方库,以后要用来写爬虫,也可以用来SQL注入)Js(是在前端,检测后缀,你虽然绕过了,但是它在服务器还会进行一次检测,判断你的文件类型)Html+Css(一个做网页框架的语言)Mysql(一种常用的数据库)其实吧,我自己也迷迷糊糊的,说不好还有写错的,大佬们凑合康康,有啥问题就指出来,卑微菜鸡~~~然后,终于把Burp Suit给装上了,安装包,还有安装教程,密令什么的对英语不好的人太不友善了,欺负人,我太难了!一个连自己都不能掌控的人,就是一个废物。                                       —–致自己

赞(0) 打赏
未经允许不得转载:E企盈小程序开发-热线:4006-838-530 » 卑微小白
分享到: 更多 (0)
E企盈小程序直播营销卖货系统
E企盈直播平台营销卖货系统

评论 抢沙发

E企盈小程序开发

联系我们联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏