企业官网建设流程全解析

韩国做 mp4下载网站,关于图书网站建设的书籍,哪个网站可以接加工单,织梦网站迁移前言 最近有很多人询问#xff0c;自己明明OWASP Top 10 都学的差不多了#xff0c;各种靶场也复现的差不多了#xff0c;Burpsuite、goby、awvs、dirsearch等等工具也是用的丝滑#xff0c;但为什么就是感觉挖不到洞呢 基础知识已经准备的差不多了#xff0c;现在可能缺乏…前言最近有很多人询问自己明明OWASP Top 10 都学的差不多了各种靶场也复现的差不多了Burpsuite、goby、awvs、dirsearch等等工具也是用的丝滑但为什么就是感觉挖不到洞呢基础知识已经准备的差不多了现在可能缺乏的是挖洞时间的思路针对特定场景下的渗透套路这个一般可以学习其他人的渗透报告学习他们的思路然后自己也进行总结整理久而久之就知道什么地方容易出漏洞了但是以上情况是基于多资产的情况今天给大家带来的文章是关于特定资产的分析大同小异感兴趣的小伙伴可以往下继续看看哦注此篇文章主要是抛出一些注意的点并没有介绍具体的解决办法大家酌情考虑如果大佬有好的思路欢迎下方留言讨论谢谢资产分析今天咱们从一个违规APP的角度进行分析从人家使用的技术栈来对比咱们需要的相应的应对技术前段时间盆友发来一个小链接需要进行测试咱们就从这里开始介绍吧打开一看咱们发现已经被标记爆红无法直接从微信中进行查看了为了测试咱们将其复制到浏览器中查看开局就是第一个技术点请在微信浏览器打开对于这个还是比较简单绕过的我们可以看看看其前端js源代码检查逻辑或者直接更改浏览器UA即可这里咱们修改浏览器UA进行绕过添加微信UA的设备Mozilla/5.0 (Linux; Android 5.0; SM-N9100 Build/LRX21V) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/37.0.0.0 Mobile Safari/537.36 MicroMessenger/6.0.2.56_r958800.520 NetType/WIFI此时更改UA之后咱们发现已经可以绕过检查了查看这个页面咱们继续测试里面存在的功能文件上传这里就不多加赘述这里文件上传是直接到OSS资源桶并且自动就更改后缀名为.rar不存在文件上传漏洞小结一基于此咱们需要了解的知识点有绕过UA检测简单的JS分析暂时还是很简单的基本上学习渗透测试的这些都会有所了解的接着咱们继续进行分析查看域名是不是感觉前面的域名很随意很像泛解析呢这里就不买关子了确实是泛解析不管前面怎么变换都是这样一个页面此时咱们如果要进行子域名扫描对于泛解析有没有什么好点的思路呢这是咱们做渗透测试需要考虑的问题吧对域名进行超级Ping咱们可以发现他存在多个解析IP也就是存在使用CDN此时咱们需要了解cdn的知识点然后学习如何查找真实Ip吧面对以上俩问题咱们结合实际测试成本而言最合适的办法就是查看各种搜索引擎寻找可能存在的记录其余像github上面的绕过cdn的项目可以使用可就是时间成本很大而且没有太大的必要截止于此还可以尝试使用项目获取IP不过咱们还是转战APP吧现在web真的是很难很难了小结二域名泛解析怎么获取子域名、存在CDN的网站怎么获取真实IP、搜索引擎不存在任何信息怎么办此时咱们转战APP到了APP咱们需要考虑的东西只会更多APP是否加壳APP存在虚拟机检测APP存在ROOT框架检测APP存在代理检测……总结针对特定资产进行测试主要就是查看其用的技术栈然后进行针对性测试web用web相关的测试APP就用APP相关的思路进行测试获取相关API不断的扩展咱们的资产慢慢的就会出现可能存在的漏洞总结就是不断搜集不断发现慢慢摸索细节出漏洞网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取