第11章 web应用程序安全(网络安全防御实战--蓝军武器库)

网络安全防御实战--蓝军武器库是2020年出版的,已经过去3年时间了,最近利用闲暇时间,抓紧吸收,总的来说,第11章开始学习利用web应用程序安全,主要讲信息收集、dns以及burpsuite,现在的资产测绘也比较火,从shodan到zoomeye,再到fofa和quake,各大安全厂商都在布局,有意思的是我曾经依靠dns找到了知乎躲在cdn后的真实ip地址,渗透测试工程师最核心的技能就是信息收集,长夜漫漫,偷偷学习~

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

1、信息收集(知乎是2007年注册的,有16年历史了)

2、burpsuite(web安全的ak47,每个web安全工程师都必备武器)

这里我仅仅演示一下burpsuite在网站登录中的一个应用,更多有趣的实验,大家自己探索哟~

(1)启动dvwa测试网站

(2)使用burpsuite对dvwa进行口令猜测

实验1:只破解密码

  • 发送到intruder模块
  • 选定暴力破解字段(password是我们想要破解的字段),这里选择sniper
  • 设置载荷
  • 页面提示登录成功,说明密码是password,burpsuite暴力破解成功(尽管这里依然是302)

实验2:破解用户名和密码

  • 登录dvwa(先把级别调成low,方便实验),这里选择cluster bomb
  • 设置第一个参数
  • 设置第二个参数
  • burpsuite破解成功(找到返回值长度与众不同的一个)

发布于 2023-03-24 22:49・IP 属地江苏

相关推荐
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
零零信安16 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
上海云盾第一敬业销售16 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手16 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub16 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61116 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
我是一颗柠檬16 天前
【计算机网络全面教学】网络设备与故障排查,从集线器到Wireshark抓包实战Day7(2026年)
网络·计算机网络·wireshark
爱网络爱Linux16 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc16 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing16 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全