Web安全课程设计第十二章 -_第1页
Web安全课程设计第十二章 -_第2页
Web安全课程设计第十二章 -_第3页
Web安全课程设计第十二章 -_第4页
Web安全课程设计第十二章 -_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Web安全课程设计

第十二章旁注攻击点击添加文本点击添加文本点击添加文本点击添加文本目录0203目录越权IP逆向查询旁注攻击01第十二章旁注攻击点击添加文本点击添加文本点击添加文本点击添加文本第十二章旁注攻击旁注攻击旁注攻击是什么?旁注攻击即攻击者在攻击目标网站的时候,对目标网站“无从下手”,找不到漏洞的时候,攻击者就可能会通过具有同一服务器的其他网站渗透到目标网站,从而获取目标网站的权限,这一过程就是旁注攻击。旁注攻击可以做什么?你可以这么理解旁注攻击:旁注攻击并不属于目标站点程序的漏洞,而是来自“外部”的攻击。旁注攻击能够做的事情包括:攻击者在进行旁注攻击操作时,一般会与提权结合在一块,旁注与提权是密不可分的。点击添加文本点击添加文本点击添加文本点击添加文本目录0203目录越权IP逆向查询旁注攻击01第十二章旁注攻击点击添加文本点击添加文本点击添加文本点击添加文本第十二章旁注攻击IP逆向查询IP逆向查询是什么?IP逆向查询即“正向查询区域”和“逆向查找区域”,正向查找区域就是我们通常所说的域名解析,逆向查找区域即是这里所说的IP反向解析,它的作用就是通过查询IP地址的PTR记录来得到该IP地址指向的域名,当然,要成功得到域名就必需要有该IP地址的PTR记录。IP逆向查询可以做什么?IP逆向查询能够做的事情包括:可以模糊的查询出服务器上部署了哪些网站。许多网站提供了基于IP到网站的逆向查询功能,通过这类网站我们就可以查找部署在同一服务器上的网站。点击添加文本点击添加文本点击添加文本点击添加文本第十二章旁注攻击IP逆向查询IP逆向查询的示例本次将使用

网站的进行IP逆向查询测试

※第一步,打开站长工具(/)

※第二步,鼠标指向域名/IP类,进入同IP网站查询功能模块,输入,进行通IP网站查询。如右图:点击添加文本点击添加文本点击添加文本点击添加文本目录0203目录越权IP逆向查询旁注攻击01第十二章旁注攻击点击添加文本点击添加文本点击添加文本点击添加文本第十二章旁注攻击目录越权目录越权是什么?正常情况下,每个web应用程序都存在于一个单独的目录中,各个应用程序之间互不干扰,独立运行。但是服务器管理员配置不当的时候,我们就可以进行跨目录进行查询,因此造成目录越权。目录越权可以做什么?目录越权能够做的事情包括:目录越权后,服务器上所有的网站都可能面临入侵的风险,甚至服务器也可能被提权,因此攻击者可以通过目录越权漏洞了解服务器架构,掌握敏感信息,为下一步提权做准备。所以我们尽可能地让“大堤没有蚁穴”,无论高危漏洞还是低危漏洞,都应一视同仁。点击添加文本点击添加文本点击添加文本点击添加文本第十二章旁注攻击目录越权I目录越权示例本次将使用本机搭建的网站DVWA测试,同样同级目录上另有其他的网站。

※第一步,攻击者已经获取DVWA这个网站webshell,例如攻击已经在这个网站上传了菜刀一句话,进行连接我们看到这个服务器上还部署其他的网站。

※第二步,任意打开一网站开是否可以越权查询(dedecmsgbk网站),幸运的网

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论