第11章 web应用程序安全(网络安全防御实战--蓝军武器库)

网络安全防御实战--蓝军武器库是2020年出版的,已经过去3年时间了,最近利用闲暇时间,抓紧吸收,总的来说,第11章开始学习利用web应用程序安全,主要讲信息收集、dns以及burpsuite,现在的资产测绘也比较火,从shodan到zoomeye,再到fofa和quake,各大安全厂商都在布局,有意思的是我曾经依靠dns找到了知乎躲在cdn后的真实ip地址,渗透测试工程师最核心的技能就是信息收集,长夜漫漫,偷偷学习~

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

1、信息收集(知乎是2007年注册的,有16年历史了)

2、burpsuite(web安全的ak47,每个web安全工程师都必备武器)

这里我仅仅演示一下burpsuite在网站登录中的一个应用,更多有趣的实验,大家自己探索哟~

(1)启动dvwa测试网站

(2)使用burpsuite对dvwa进行口令猜测

实验1:只破解密码

  • 发送到intruder模块
  • 选定暴力破解字段(password是我们想要破解的字段),这里选择sniper
  • 设置载荷
  • 页面提示登录成功,说明密码是password,burpsuite暴力破解成功(尽管这里依然是302)

实验2:破解用户名和密码

  • 登录dvwa(先把级别调成low,方便实验),这里选择cluster bomb
  • 设置第一个参数
  • 设置第二个参数
  • burpsuite破解成功(找到返回值长度与众不同的一个)

发布于 2023-03-24 22:49・IP 属地江苏

相关推荐
小韩博1 小时前
metasploit 框架安装更新遇到无法下载问题如何解决
linux·网络安全·公钥·下载失败
合作小小程序员小小店6 小时前
SDN安全开发环境中常见的框架,工具,第三方库,mininet常见指令介绍
python·安全·生成对抗网络·网络安全·网络攻击模型
Whoami!13 小时前
2-3〔O҉S҉C҉P҉ ◈ 研记〕❘ 漏洞扫描▸AppScan(WEB扫描)
网络安全·信息安全·appscan·oscp
秃了也弱了。19 小时前
WireShark:非常好用的网络抓包工具
网络·测试工具·wireshark
2301_780789661 天前
边缘节点 DDoS 防护:CDN 节点的流量清洗与就近拦截方案
安全·web安全·ddos
飞向蓝天21 天前
基于wireshark的USB 全速硬件抓包工具USB Sniffer Lite的使用
wireshark·sniffer lite·usb sniffer·usb抓包·usb协议分析
Bruce_Liuxiaowei1 天前
跨站脚本攻击(XSS)高级绕过技术与防御方案
前端·网络安全·xss
观北海2 天前
网络安全蓝队常用工具全景与实战指南
安全·web安全
人衣aoa2 天前
PG靶机 - Pelican
web安全·网络安全·渗透测试·内网渗透
lingggggaaaa2 天前
小迪安全v2023学习笔记(六十一讲)—— 持续更新中
笔记·学习·安全·web安全·网络安全·反序列化