码迷,mamicode.com
首页 > 其他好文 > 详细

2017-2018网络攻防第五周作业

时间:2018-04-08 22:36:20      阅读:170      评论:0      收藏:0      [点我收藏+]

标签:for   应用安全   file   ali   java语言   sql注入   java开发   渗透   核心   

教材内容总结

web架构
体系结构

浏览器
Web服务器
Web应用程序
数据库
传输协议

HTTP协议
HTTP协议默认使用TCP 80端口,是相对简单、无状态的、基于ASCII码的协议,其定义在IETF的标准化文档之中。
HTTP协议使用统一资源标识符,对范围从静态文本页面到动态视频的各种资源进行统一定义。

Web应用安全
web应用安全威胁类型

针对浏览器和终端用户的Web浏览安全威胁。
针对传输网络的网络协议安全威胁。
系统层安全威胁。
Web服务器软件安全威胁。
Web应用程序安全威胁。
Web数据安全威胁。

Web浏览器安全
软件安全困境三要素

复杂性、可扩展性、连通性。

网页木马存在的技术基础

Web浏览端安全漏洞。

网页木马的本质核心

浏览器渗透攻击。

网页木马的检测与分析方法

基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果判定的检测分析方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。

kali视频学习

漏洞分析之数据库评析
bbqsql

盲注工具

DBPwAudit

数据库用户名密码枚举工具

HexorBase

数据库密码破解与连接工具
MDBTools

Oracle Scanner

Java开发的Oracle评估工具

tnscmd10g
针对oracle的注入工具
Sqlsus

Mysql注入接管工具
Sqlninja

侧重于获得shell

JSQL

用JAVA语言编写的一个针对SQL注入的应用程序
sqlmap

sqlmap 是一个自动SQL射入工具。它是可胜任执行一个广泛的数据库管理系统后端指印,检索遥远的DBMS数据库
--current-user 查看当前的用户
--dbs 当期存在的数据库
--user 当前的用户
--pass 当前用户的密码
--privilege 当前用户的权限
--tables -D dvwa 针对当前数据库dvwa查看表
--current-db 查看当前的数据库
--columns -T users -D dvwa 查看user表中的字段信息
--dump-all 指向某个表 dump所有内容
-r risk提高权限
--forms 表单
--os-cmd 系统命令
--os-shell 获取系统shell
--sql-shell 直接获取sqlshell,执行SQL语句,select load _file(‘/etc/password‘) 获取这个文件

2017-2018网络攻防第五周作业

标签:for   应用安全   file   ali   java语言   sql注入   java开发   渗透   核心   

原文地址:https://www.cnblogs.com/xpren/p/8747464.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!