1�����、首先要知道Kali系統(tǒng)的基本使用方法�����。因?yàn)镵ali系統(tǒng)里面會(huì)集成我們所需的一些工具��。
Kali滲透測(cè)試系統(tǒng)�,Kali Linux是專(zhuān)門(mén)用于滲透測(cè)試的Linux操作系統(tǒng),它由BackTrack發(fā)展而來(lái)��。Kali中集成了滲透測(cè)試所需的常用工具��,是我們必須掌握的一項(xiàng)技能����。
2、接下來(lái)需要學(xué)習(xí)sql注入相關(guān)的一些內(nèi)容�����。
sql注入:當(dāng)客戶(hù)端提交的數(shù)據(jù)未作處理或轉(zhuǎn)義直接帶入數(shù)據(jù)庫(kù)就造成了SQL注入�����,也就是用戶(hù)提交了特定的字符導(dǎo)致SQL語(yǔ)句沒(méi)有按照管理員設(shè)定的方式方法執(zhí)行����。
3、還有要學(xué)習(xí)xss跨站腳本攻擊��。
xss跨站腳本攻擊危害:竊取用戶(hù)cookie信息保存到遠(yuǎn)程服務(wù)器�。
4����、學(xué)習(xí)CSRF偽造用戶(hù)請(qǐng)求���。
CSRF(Cross-site request forgery�����,跨站請(qǐng)求偽造)也被稱(chēng)為one click attack(單鍵攻擊)或者session riding����,通??s寫(xiě)為CSRF或者XSRF。
5�����、暴力破解常見(jiàn)服務(wù)�����,可以使用Hydra九頭蛇����,也可以使用美杜莎。
6��、還要了解web網(wǎng)站里基于文件上傳漏洞去如何獲取webshell權(quán)限�����,在這里我們可以使用蟻劍加一句話木馬去實(shí)現(xiàn)�����。
file upload�����,即文件上傳漏洞�����,通常是由于對(duì)上傳文件的類(lèi)型�、內(nèi)容沒(méi)有進(jìn)行嚴(yán)格的過(guò)濾、檢查�,使得攻擊者可以通過(guò)上傳木馬獲取服務(wù)器的webshell權(quán)限,因此文件上傳漏洞帶來(lái)的危害常常是毀滅性的��,Apache、Tomcat���、Nginx等都爆出過(guò)文件上傳漏洞��。
7����、還有xxe漏洞任意提取�����,包括我們WiFi相關(guān)的一些安全���。
8���、掌握常用的漏洞掃描工具:Nessus、AppScan等工具��。
9��、還要了解linux下的滲透安全技術(shù)����。
總結(jié)
滲透安全課程培訓(xùn)主要包括:
1�、Kali系統(tǒng)的使用�。
2�、sql注入。
3�����、xss跨站腳本攻擊����。
4、CSRF偽造用戶(hù)請(qǐng)求攻擊���。
5�、暴力破解常見(jiàn)服務(wù)���。
6�、基于文件上傳漏洞獲取webshell權(quán)限��。
7�����、xxe漏洞任意文件讀取。
8���、無(wú)線安全����。
9���、漏洞掃描分析軟件���。
10、linux系統(tǒng)下的滲透安全技術(shù)���。
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)���,若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理�。TEL:0731-84117792 E-MAIL:11247931@qq.com
湘公網(wǎng)安備 43010402000898號(hào)