主页 协会介绍 博客 工具 关于

回顾 | Web渗透测试以及实战

回顾 | Web渗透测试以及实战


主讲人:菜夹膜

本次分享会主要向大家讲解Web渗透测试的介绍以及运用 Burp Suite 以及 Sqlmap 进行实战,由于直播视频未准备好,故本次分享会不提供录播视频,下面提供课程资料以及课程PPT !

课程资料

感谢菜夹膜dalao


分享会流程

首先,向大家介绍黑客一词的起源,从而向大家介绍最大的黑客组织匿名者Anonymous,以及其的一些光辉事迹。 当然,大家可能第一次接触黑客一词是从影视中开始的,好比说,The Matrix,MR.ROBOT,以及热剧 亲爱的热爱的 等等等,这些影剧都是对“黑客”的一种呈现。

web


Web简单入门

浏览器的开发者工具(F12):

  • Elements 查看当前文档的DOM信息

  • Console 查看调试用的,也可以直接写JS代码

  • Source 查看当前资源文件的(CSS,JS,IMAGE)

  • Network 查看网络请求的

  • Resources 查看本地资源信息的(cookie,local storage,session storage等)

大家可以使用开发者工具查看网页的源码,进行一些网页参数的修改等等等,更多的用法等您去探索…..

DGLINUX


Burp Suite 安装使用

安装流程:

  • 首先安装 jre-8u211-windows-x64 运行环境

  • 解压Burp_Suite_Pro_v1.7.32压缩包中的文件夹

  • 到存放软件目录中,运行burp-loader-keygen,然后点击Run

  • 在弹出的窗口中,复制keygen中的license文本并粘贴

  • 选择Manual activation,将request中的文本复制到keygen的Activation request文本框中
  • 再复制生成的Response到软件中

Burp Suite 是用于攻击Web应用程序的集成平台,包含了多种工具。具体使用教程大家可以查询相关文档,遇到的问题可以群里讨论。

Burp Suite

Sqlmap 安装使用

Sqlmap是基于python环境的,所以在这之前需要安装python环境

相关指令参数的介绍:

Python .\sqlmap.py

  • -h 获得脚本的帮助提示

  • -u + url 使用脚本对网站进行sql注入

  • -p + parameter 选定要注入的参数

  • -v 可以控制log输出的等级

  • –current-db 爆破当前数据库库名

  • –tables 爆破数据库中所有的所有表

  • –columns 爆破表中所有的列

  • –time-sec DBMS响应的延迟时间(默认为5秒)

  • –proxy 使用代理服务器连接到目标URL

  • –cookie 指定cookie

等等等,这里就不一一列出了!

Sqlmap是开源的自动化SQL注入工具,完全支持 MySQL、Oracle、PostgreSQL…..等多种数据库管理系统,可以提供一个简单的URL,Burp或WebScarab请求日志文件,文本文档中的完整http请求或者Google的搜索,匹配出结果页面,也可以自己定义一个正则来判断那个地址去测试……等等,更多应用感兴趣的小伙伴可自行探索。。。

SQLMAP


好了,本次回顾到此结束!感兴趣的小伙伴可以自行了解更多应用;

当然遇到啥问题,可以发群里面讨论!

告辞

告辞

分享会预告 | Web渗透测试_实战

技术分享会,它又来了。

我们这次带来的主题是Web渗透测试

现在的黑客通常会使用破解、逆向和web渗透等技术进行网站爆破,这次的技术分享会。我们将会为大家讲解Web渗透,并且会在现场进行一些实战操作。


● 时 间: 2019年12月7号周六晚 20:00

● 地 点: 8B306

● 主讲人: 菜夹膜


课前准备

了解一下Web渗透测试 ?

(自行先了解一些基本概念术语)

怎么对网站进行信息收集?

(通过一个域名取得其中各种信息)

认识一下SQL数据库,以及查询语句?

(数据库系统不一,但SQL标准语法是相同的)

了解一下怎么进行SQL注入?

​ (使用的工具SqlMap,需要环境Python3)

怎么对网站进行漏洞扫描?

(使用的工具是Burp Suite,需要环境JDK8↑ )

课程资料下载


关于直播

为了方便更多的同学进行学习,我们会对分享会现场进行直播,不方便过来的同学可以通过观看直播进行学习。

linux.dgut.edu.cn/live


感兴趣的小伙伴,可以事先对分享会相关内容进行一定了解,可以自行琢磨琢磨,尝试尝试,遇到某些奇怪的问题在当天提出进行讨论;活动室也为大家配备有电脑(机房那种),不过还是建议同学们能够自带电脑,机房的电脑一言难尽,更加方便后期继续深入学习。能够自带电脑的同学,可以准备好课程需要的工具,当然,来不及准备的同学,也可以上课时使用我们准备的U盘进行拷贝。

总之,我们需要的就是,你的到来!

回顾 | Linux系统安装以及基本命令

主讲人:42yeah

本次分享会大致为大家讲解了一些Linux系统的发展,以及Linux_Ubuntu系统在虚拟机上的安装流程,一些基本且重要的操作命令。下有分享会的录播视频以及PPT,大家需要可自行下载。

Git Git Git

What is Git