百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术教程 > 正文

有大神知道网络安全工程师拿到一个待检测的站,应该先做什么吗?

csdh11 2024-11-30 14:01 6 浏览

第一步:信息收集

1.获取域名的whois信息,获取注册者邮箱姓名电话等。


2.查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。


3.查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞


4.查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等。


5.扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针

6.google hack 进一步探测网站的信息,后台,敏感文件


第二步:漏洞扫描

开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含, 远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等


第三步:漏洞利用

利用以上的方式拿到webshell,或者其他权限

利用以上的方式拿到webshell,或者其他权限


第四步:权限提升

提权服务器,比如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,巴西烤肉,linux脏牛漏洞,linux内核版本漏洞提权,linux下的mysql system提权以及oracle低权限提权


第五步: 日志清理


第六步:总结报告及修复方案


提示:

我整理了一套网络安全渗透测试百度云网盘资源,建议朋友一起学习,共同净化网络环境,找副业的朋友,金金副业项目,一起实操,副业月入稳定5000~另全网各大主流平台的会员和课程都有,特别全!欢迎各位热爱学习的小伙伴一起交流,一起进步!减少试错成本!


另收兼、全职做副业的朋友,轻松上5000~!有专属引流培训,各渠道最新实用引流方法,全程实操,7小时干货内容,金金独家内部成体系培训。


免责声明:资源收集于网络,仅用于试学及购买课程之参考,切勿用于其他用途,请支持购买正版课程!如若侵权,请留言告知删除,谢谢!


相关推荐

ArcGIS干货教程:DEM数字高程模型数据的生成

1、概述现在ArcGIS在规划行业的使用逐渐流行起来,多规合一、地理设计、甚至还有大数据、编程设计等等各种高大上无不与ArcGIS多少有点关系,然而大多数行业小伙伴作为一个普通的规划师,只是想用Ar...

Google推出的首款动态图标字体 如何在设计和开发中使用?

Anicons是GoogleDesign和Typogram合作推出的全球第一款彩色图标字体,它是目前最先进的两种字体技术--可变字体和彩色字体的结合的首次实践。Anicons字体自带...

KWGT : 如果你想随心定制桌面小部件,试试它吧 Android

有人说Android在于折腾,而为了让这「机器人」达到美与实用的平衡点,各大定制界面开发者使尽百变招数,花样也层出不穷。其中,KustomWidget(KWGT)就是Android上最精美的...

颜色查找表 LUTs及其使用

1、什么是LUT?颜色查找表(colorlookuptables,简称LUT)是一个表格,其中包含Photoshop的说明,如何将图像中的原始颜色重新映射到不同的特定颜色,以创建特定的外观,图像...

抖音品质建设 - iOS启动优化《原理篇》

前言启动是App给用户的第一印象,启动越慢用户流失的概率就越高,良好的启动速度是用户体验不可缺少的一环。启动优化涉及到的知识点非常多面也很广,一篇文章难以包含全部,所以拆分成两部分:原理和实践。本...

win10:手把手教你怎么打开windows media player

  通常我们安装好win10系统后,一些网友说他们无法打开WindowsMediaPlayer,也不知道怎么打开它。今天,总裁小编我将教您怎么在win10系统中打开WindowsMediaPl...

Origami动效制作-入门必看(附3个练习案例)

数十万互联网从业者的共同关注!作者:青溪Joanna微信公众号:qingxizhaji(青溪札记)作者授权早读课发表,转载请联系作者。欢迎投稿到早读课,投稿邮箱:mm@zaodula.com网上关于O...

30个4GB内存Rackspace云服务器45分钟内可运行1万个Docker容器

虽然应用程序的可移植性(即能够在任何一个主机上运行相同的应用程序)仍是采用Linux容器的主要动力,但优化服务器的利用率这另一个关键的优势能够使得你仅占用计算机的很少部分的计算。当然,对于像PROD这...

在Photoshop中绘制虚线的多种实用方法总结

PS虚线怎么画(HowtoDrawDottedLinesinPhotoshop)  在图形设计中,虚线是一种常见的视觉元素,广泛应用于设计和排版。无论是用于分隔不同的内容,还是作为装饰元...

第三章图层、属性设置

F本章目标&了解图层的概念和应用&掌握图层的新建、命名、删除、和设置为当前的方法&掌握图层的颜色、线型及线宽设置方法&学会使用图层的开/关、冻结/解冻、锁定/解锁...

非常好用的作图软件origin实用问题集锦(4)

16.请问在origin中如何设置图片大小?杂志要求图片长5cm,宽4cm,而且对图片中字号、线粗有要求,如果只是在输出时设置图片大小,那图片中字号、线粗不是改变了吗?Answer:在图上的灰色...

如意玲珑成熟度再提升,三大发行版支持教程来啦!

前期,我们已分别发布如意玲珑在deepinV23与UOSV20、openEuler24.03发行版的操作指南,本文,我们将为大家详细介绍Ubuntu24.04、Debian12、op...

Windows电脑文件的扩展名(后缀名)有哪些,有什么用?

文件扩展名(filenameextension)也称为文件的后缀名,是操作系统用来标记文件类型的一种机制,在Windows系统下,通俗易懂的来说就是扩展名可以告诉操作系统默认用什么软件打开文件。...

UG NX中英文词汇翻译对照,已整理成文档

大家好,我是星辉。虽然UGNX软件可以选择安装中文版本,但是里面依旧会有很多英文词汇,很多新手看到英文就头疼不懂意思。今天我给大家整理好了使用UGNX软件中基本需要明白英文含义的翻译对照文档,有需...

layui-icon各种常用动态图标

<buttonid="btnPrintDetail"class="<br/>layui-btnicon-btn"><iclass="...