web安全深度剖析知识点总结
2、nmap的各种script方法:https://nmap.org/book/nse.html
3、下载DirBuster https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
4、下载WVS http://www.acunetix.com/vulnerability-scanner/download/
5、下载APPSCAN
黑帽SEO劫持流量方法:
http://www.cnblogs.com/croso/p/5285177.html
还有一个提升网站排名的方法:
http://ask.seowhy.com/article/2878
1、telnet请求百度
2、burp suite使用
3、极客学院fiddler工具使用学一下
配合书上前两章,把http抓包练一下
把上面俩方法的原理总结一下,口语化
Wifi有毛病,没法输入密码:
打开网络共享中心的更改适配器,把wlan禁用再重启即可。
发布火车票项目,做攻击练习。
整理以前的项目内容,做一个糅合项目。
下载NC.exe
SQL注入工具:
SQLMap官网www.sqlmap.org
Pangolin
Havij
Owasp esapi 将特殊字符转义了,就不执行他了
Webshell:
webshell是什么?
顾名思义,"web" - 显然需要服务器开放web服务,"shell" - 取得对服务器某种程度上操作权限。
webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。
2、webshell有什么作用?
一方面,webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。
另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为WEB
脚本木马,目前比较流行的asp或php木马,也有基于.NET的脚本木马。
对于后者我本人是反对的,毕竟人要厚道。
3、webshell的隐蔽性
有些恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀。
webshell可以穿越服务器防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。
4、如何防范恶意后门?
从根本上解决动态网页脚本的安全问题,要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等,务必配置好服务器FSO权限。
Web服务器和应用服务器
阿里云服务器:http://kb.cnblogs.com/page/161553/
找个注册的网页,试验firebug删除事件
PHP ASP
XSSER.ME http://www.haaker.cn/?p=5943
http://webxss.net/index.php?do=login
XSSING
Linux系统笔记本
Xsser.me http://www.haaker.cn/?p=5943
Firebug 调试js https://segmentfault.com/q/1010000002402291/a-1020000002407484
刘意swing学习
漏洞网站:https://www.seebug.org/
检测自己漏洞:https://www.seebug.org/monster/
漏洞信息库:https://www.exploit-db.com/
破解数据库工具:https://www.thc.org/thc-hydra/
网站查询工具:http://www.yougetsignal.com/
必应也可以通过IP查服务器
凯文米特尼克——欺骗艺术。那几本书
站长之家:http://whois.chinaz.com/