系统及数据库
2021/10/19 2:12:56
本文主要是介绍系统及数据库,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
前言
除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取
操作系统层面
1.识别操作系统常见方法
改变URL中某个字母的大小写,看看对网页有没有影响,因为windows服务器对大小不敏感
这个网站对应的操作系统就是Linux服务器
也可以用TTL来判断服务器系统,相邻的值来判断
ip地址可用nmap来判断操作系统
nmap -O 110.242.68.4
2.简述两者区别以及识别的意义
网站路径、大小写、文件在两个系统之间的适用性,兼容性
如果判断出是哪种操作系统,就会从操作系统所支持的漏洞类型下手
3.简述操作系统层面漏洞影响范围
通过漏洞去获取权限,对操作系统形成干扰,使得某些服务崩溃
数据库层面
1.识别数据库类型常见方法(1)数据库分类
- 小型数据库 Access
- 中型数据库 MySQL
- 大型数据库 Oracle、SQL Server
2.通过网站及操作系统识别
ASP+Access,sql server (windows)
PHP+Mysql(linux、windows) 端口:3306
ASPX+Mssql(windows) 端口:1433
Jsp+Mssql(windows),oracle (linux、windows)端口:1521
Python+Mongodb (linux、windows)
access和mssql不支持linux操作系统
3.使用nmap工具扫描,查看端口开放情况
sql server--------端口:1433
Mysql-------------端口:3306
Oracle-------------端口:1521
Mongodb---------端口:27017
4.数据库类型区别及识别意义
每个数据库里面的安全机制,内部结构都有些许不一样,同样产生的漏洞也不一样。不同的数据库,攻击方法、漏洞类型及影响都有不同
5.数据库常见漏洞类型及攻击
弱口令攻击:通过弱口令登录到数据库中,得到网站管理员数据信息,登录网站后台,进行修改
6.简述数据库层面漏洞影响范围
通过漏洞,进行攻击,也可以获取数据库的相关权限,进行一系列的操作
第三方层面
1.如何判断有哪些第三方平台和软件
常见的第三方软件:
Jboss,PHPmyadmin,vsftpd,teamview等
比如phpmyadmin的判定• 通过网站扫描其目录来判定,如果网站探测不到,那就通过端口扫描。要多层次判断,不能仅限于端口扫描,根据不同的应用采取不同的方法。• 如果nmap扫描不出来,可能是有第三方防护软件(安全狗)等拦截。还有可能是对方服务部署在内网。
2.简述为什么要识别第三方平台或软件
通过识别第三方软件,来找出漏洞,从而进行渗透测试
3.简述第三方平台或软件安全测试的范围
直接影响到权限
其他
除去常规web安全及app安全测试外,类似服务器单一或复杂的其他服务(邮件,游戏,负载均衡等),也可以作为安全测试目标,此类目标测试原则只是少了web应用或其他安全问题,所以明确安全测试思路是很重要的。
这篇关于系统及数据库的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-06-05做软件测试需要懂代码吗?
- 2024-06-0514-ShardingSphere的分布式主键实现
- 2024-06-03为什么以及如何要进行架构设计权衡?
- 2024-05-31全网首发第二弹!软考2024年5月《软件设计师》真题+解析+答案!(11-20题)
- 2024-05-31全网首发!软考2024年5月《软件设计师》真题+解析+答案!(21-30题)
- 2024-05-30【Java】百万数据excel导出功能如何实现
- 2024-05-30我们小公司,哪像华为一样,用得上IPD(集成产品开发)?
- 2024-05-30java excel上传--poi
- 2024-05-30安装笔记本应用商店的pycharm,再安排pandas等模块,说是没有打包工具?
- 2024-05-29java11新特性