【CISP笔记】安全攻击与防护
2016-06-15 21:03
267 查看
公开信息收集-搜索引擎
快速定位
Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站
Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器
信息挖掘
定点采集
Google 搜索 “.doc+website”挖掘信息
隐藏信息
.mdb、.ini、.txt、.old、.bak、.001……
后台入口
网络信息收集-域名信息
whois用来查询域名是否被注册以及注册的详细资料。
https://www.whois.net/
信息收集技术-域名与IP查询
域名与IP查询─ nslookup
操作系统自带命令,主要是用来查询域名名称和 IP 之间的对应关系
网络状况查询─ Ping
系统自带命令,测试与远端电脑或网络设备的连接状况
网络路径状况查询─ tracert
系统自带命令,测试与远端电脑或网络设备之间的路径
信息收集与分析工具-扫描器
网络设备漏洞扫描器
Cisco Auditing Tools
集成化的漏洞扫描器
Nessus
Shadow Security Scanner
eEye的Retina
Internet Security Scanner
GFI LANguard
专业web扫描软件
IBM appscan
Acunetix Web Vulnerability
数据库漏洞扫描器
ISS Database Scanner
oscanner Oracle数据库扫描器
Metacoretex 数据安全审计工具
知识域:安全攻击与防护
知识子域:常见攻击与防范
理解默认口令攻击、字典攻击及暴力攻击的原理与防范措施
理解社会工程学攻击的方法与防范措施
理解IP欺骗、ARP欺骗和DNS欺骗的原理与防范措施
理解SYN Flood、UDP Flood、Teardrop攻击等典型DOS/DDOS的原理与防范措施
理解缓冲区溢出攻击的原理与防范措施
理解SQL注入攻击的原理与防范措施
理解跨站脚本攻击的原理与防范措施
暴力猜解方法一:散列值破解
获取散列值工具
pwdump7.exe
GetHashes.exe
SAMInside.exe
Cain
破解散列值工具
John the Ripper
L0Phtcrack
从网站等公开渠道得到散列值破解结果
社会工程学攻击
典型的拒绝服务攻击方式
SYN Flood
UDP Flood
Teardrop
Ping of death
Smurf
Land
缓冲区溢出漏洞
web漏洞学习平台
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
跨站脚本攻击的危害
敏感信息泄露
账号劫持
Cookie欺骗
拒绝服务
钓鱼
快速定位
Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站
Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器
信息挖掘
定点采集
Google 搜索 “.doc+website”挖掘信息
隐藏信息
.mdb、.ini、.txt、.old、.bak、.001……
后台入口
网络信息收集-域名信息
whois用来查询域名是否被注册以及注册的详细资料。
https://www.whois.net/
信息收集技术-域名与IP查询
域名与IP查询─ nslookup
操作系统自带命令,主要是用来查询域名名称和 IP 之间的对应关系
网络状况查询─ Ping
系统自带命令,测试与远端电脑或网络设备的连接状况
网络路径状况查询─ tracert
系统自带命令,测试与远端电脑或网络设备之间的路径
信息收集与分析工具-扫描器
网络设备漏洞扫描器
Cisco Auditing Tools
集成化的漏洞扫描器
Nessus
Shadow Security Scanner
eEye的Retina
Internet Security Scanner
GFI LANguard
专业web扫描软件
IBM appscan
Acunetix Web Vulnerability
数据库漏洞扫描器
ISS Database Scanner
oscanner Oracle数据库扫描器
Metacoretex 数据安全审计工具
知识域:安全攻击与防护
知识子域:常见攻击与防范
理解默认口令攻击、字典攻击及暴力攻击的原理与防范措施
理解社会工程学攻击的方法与防范措施
理解IP欺骗、ARP欺骗和DNS欺骗的原理与防范措施
理解SYN Flood、UDP Flood、Teardrop攻击等典型DOS/DDOS的原理与防范措施
理解缓冲区溢出攻击的原理与防范措施
理解SQL注入攻击的原理与防范措施
理解跨站脚本攻击的原理与防范措施
暴力猜解方法一:散列值破解
获取散列值工具
pwdump7.exe
GetHashes.exe
SAMInside.exe
Cain
破解散列值工具
John the Ripper
L0Phtcrack
从网站等公开渠道得到散列值破解结果
社会工程学攻击
典型的拒绝服务攻击方式
SYN Flood
UDP Flood
Teardrop
Ping of death
Smurf
Land
缓冲区溢出漏洞
web漏洞学习平台
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
跨站脚本攻击的危害
敏感信息泄露
账号劫持
Cookie欺骗
拒绝服务
钓鱼
相关文章推荐
- screen实现关闭ssh之后继续运行代码
- [bzoj2819]Nim
- DAGScheduler 源码走读
- IP地址、子网掩码、网络号、主机号、网络地址、主机地址
- 国家与乡村社会揉合下的宗族:一种历史的反思
- 运算符重载 成员函数
- 页面调度算法——FIFO
- Ajax简介
- Android Studio 问题汇总目录
- 常用的日期格式
- 用MVVM做了一个保存网页的工具-上篇
- BFS
- 349. Intersection of Two Arrays
- 详解网络传输中的三张表,MAC地址表、ARP缓存表以及路由表
- Python 文件和目录的操作
- 腾讯云一键搭建WordPress博客网站
- TeX系列: tikz-3dplot绘图宏包
- 修改win10和ubuntu17.10双系统启动顺序
- Java记事
- 数据库案例中创建连接池以及连接