脚本宝典收集整理的这篇文章主要介绍了系统及数据库,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取
改变URL中某个字母的大小写,看看对网页有没有影响,因为windows服务器对大小不敏感
这个网站对应的操作系统就是Linux服务器
也可以用TTL来判断服务器系统,相邻的值来判断
ip地址可用nmap来判断操作系统
nmap -O 110.242.68.4
网站路径、大小写、文件在两个系统之间的适用性,兼容性 如果判断出是哪种操作系统,就会从操作系统所支持的漏洞类型下手
通过漏洞去获取权限,对操作系统形成干扰,使得某些服务崩溃
ASP+Access,sql server (windows) PHP+Mysql(linux、windows) 端口:3306 ASPX+Mssql(windows) 端口:1433 Jsp+Mssql(windows),oracle (linux、windows)端口:1521 Python+Mongodb (linux、windows)
access和mssql不支持linux操作系统
sql server--------端口:1433 Mysql-------------端口:3306 Oracle-------------端口:1521 Mongodb---------端口:27017
每个数据库里面的安全机制,内部结构都有些许不一样,同样产生的漏洞也不一样。不同的数据库,攻击方法、漏洞类型及影响都有不同
弱口令攻击:通过弱口令登录到数据库中,得到网站管理员数据信息,登录网站后台,进行修改
通过漏洞,进行攻击,也可以获取数据库的相关权限,进行一系列的操作
常见的第三方软件: Jboss,PHPmyadmin,vsftpd,teamview等 比如phpmyadmin的判定• 通过网站扫描其目录来判定,如果网站探测不到,那就通过端口扫描。要多层次判断,不能仅限于端口扫描,根据不同的应用采取不同的方法。• 如果nmap扫描不出来,可能是有第三方防护软件(安全狗)等拦截。还有可能是对方服务部署在内网。
通过识别第三方软件,来找出漏洞,从而进行渗透测试
直接影响到权限
除去常规web安全及app安全测试外,类似服务器单一或复杂的其他服务(邮件,游戏,负载均衡等),也可以作为安全测试目标,此类目标测试原则只是少了web应用或其他安全问题,所以明确安全测试思路是很重要的。
以上是脚本宝典为你收集整理的系统及数据库全部内容,希望文章能够帮你解决系统及数据库所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。