2021-05-06

Posted 2021-05-16 XQ.Qing

2021.05 信息安全实训课课程笔记

2021.05.03
提起信息安全，我最先想到的是一个神秘的群体——Hacker。也就是常说的黑客啦！不过黑客可不能解释信息安全。
其实，信息安全防护是一个系统工程，面对复杂的网络攻击时，要求面面俱到，将多种防护手段有机结合，构成多层次的防护体系。
黑客入侵流程：

先进行预攻击即准备阶段，然后攻击，最后收尾也就是图中的后攻击了。

前期准备
部署IIS web服务
然后运行ASP.NET State Service
将应用程序默认池的32位应用程序改为True

网络探查与端口扫描
局域网探查工具：LanSee.exe
端口扫描工具：AdvancedPortScanner

网站后台扫描工具御剑：
运行时线程选择2-4个

Web扫描：
网站漏洞扫描工具AWVS：
target finder扫描IP是否提供Web服务、80、433端口
web scanner扫描自己搭建的网站
site crawler爬取网站的文件和目录

漏洞利用：
网站后台绕过：构造永真的SQL语句绕过登陆界面。
篡改页面内容

上传木马：
利用工具连接一句话木马。