技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

第11章-web应用程序安全网络安全防御实战-蓝军武器库

 收录于 未分类
   约 610 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=146120496
目录

第11章 web应用程序安全(网络安全防御实战–蓝军武器库)

网络安全防御实战–蓝军武器库是2020年出版的,已经过去3年时间了,最近利用闲暇时间,抓紧吸收,总的来说,第11章开始学习利用 安全,主要讲信息收集、dns以及burpsuite,现在的资产测绘也比较火,从shodan到 ,再到fofa和quake,各大安全厂商都在布局,有意思的是我曾经依靠dns找到了知乎躲在cdn后的真实ip地址, 工程师最核心的技能就是信息收集,长夜漫漫,偷偷学习~

https://i-blog.csdnimg.cn/img_convert/a672641ae65d647190957f74b1d74966.jpeg

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

1、信息收集(知乎是2007年注册的,有16年历史了)

https://i-blog.csdnimg.cn/img_convert/51c8e48cf330959ff9bc1a2b7bf61cf5.png

https://i-blog.csdnimg.cn/img_convert/80c8a3187ca731f0a81aeac6e1b3a072.png

2、 (web安全的ak47,每个 都必备武器)

这里我仅仅演示一下burpsuite在网站登录中的一个应用,更多有趣的实验,大家自己探索哟~

(1)启动dvwa测试网站

https://i-blog.csdnimg.cn/img_convert/27293adda7c108095c81f8f757c150e0.png

(2)使用burpsuite对dvwa进行口令猜测

实验1:只破解密码

  • 发送到intruder模块

https://i-blog.csdnimg.cn/img_convert/3801cc20a18969905089b56239e6b45d.png

  • 选定暴力破解字段(password是我们想要破解的字段),这里选择sniper

https://i-blog.csdnimg.cn/img_convert/f3620e6166de9b4e9212cd25add68ed7.png

  • 设置载荷

https://i-blog.csdnimg.cn/img_convert/de38a8e8a317eb28d5d8ff153733edbe.png

  • 页面提示登录成功,说明密码是password,burpsuite暴力破解成功(尽管这里依然是302)

https://i-blog.csdnimg.cn/img_convert/53ab04afb148dc231e1363c67a8541f9.png

实验2:破解用户名和密码

  • 登录dvwa(先把级别调成low,方便实验),这里选择cluster bomb

https://i-blog.csdnimg.cn/img_convert/384e3d959426402483918534731612a9.png

  • 设置第一个参数

https://i-blog.csdnimg.cn/img_convert/341c7608dd73fa40cab3c75d28e05b97.png

  • 设置第二个参数

https://i-blog.csdnimg.cn/img_convert/e870e850719f4267777b4dbc0a7c061b.png

  • burpsuite破解成功(找到返回值长度与众不同的一个)

https://i-blog.csdnimg.cn/img_convert/35b1c9d6f7dfbefa2ac3baf2b888a729.png

发布于 2023-03-24 22:49・IP 属地江苏

https://i-blog.csdnimg.cn/direct/cfbe6b0f43ee4c27b23db8605d47e3cf.png

更新于 2025-03-08
 网络安全WiresharkWeb
返回 | 主页