📝 Python渗透测试教程
34篇技术文档📅  最后修改于: 2020-12-06 10:26:46        🧑  作者: Mango
渗透测试(笔测试)是通过模拟针对计算机系统的网络攻击来利用漏洞来评估IT基础结构的安全性的一种尝试。它可以通过识别漏洞来帮助组织加强防御网络攻击的能力。对于对本学科感兴趣或将其作为课程一部分的研究生,研究生和研究型学生,本教程将非常有用。读者可以是初学者或高级学习者。先决条件读者必须具有有关测试,操作系统和计算机网络的基本知识。他/她还应该了解基本的Python编程概念。...
📅  最后修改于: 2020-12-06 10:27:20        🧑  作者: Mango
笔测试或渗透测试可以定义为通过模拟针对计算机系统的网络攻击来利用漏洞来评估IT基础结构的安全性的尝试。漏洞扫描和渗透测试之间有什么区别?漏洞扫描只是识别出所指出的漏洞,并且如先前所述,渗透测试是对漏洞的一种尝试。渗透测试有助于确定系统中是否可能发生未经授权的访问或任何其他恶意活动。我们可以使用手动或自动技术对服务器,Web应用程序,无线网络,移动设备和任何其他潜在的暴露点进行渗透测试。由于进行了渗...
📅  最后修改于: 2020-12-06 10:28:37        🧑  作者: Mango
最近,政府和私人组织都将网络安全作为一项战略重点。网络罪犯经常通过使用不同的攻击媒介,将政府和私人组织作为软目标。不幸的是,由于缺乏有效的政策,标准和信息系统的复杂性,网络罪犯拥有大量目标,他们也正在成功利用该系统并窃取信息。渗透测试是可以用来减轻网络攻击风险的一种策略。渗透测试的成功取决于有效且一致的评估方法。我们有多种与渗透测试相关的评估方法。使用方法的好处是,它可以使评估人员始终如一地评估环...
📅  最后修改于: 2020-12-06 10:30:14        🧑  作者: Mango
我们一直都听说过,要进行渗透测试,必须花费pentester一定要了解基本的网络概念,例如IP地址,分类子网,无分类子网,端口和广播网络。第一个原因是,诸如哪些主机位于批准的范围内以及它们具有哪些开放性和响应性的服务,端口和功能之类的活动将决定评估人员将在渗透测试中执行哪种活动。环境不断变化,系统经常被重新分配。因此,很可能旧的漏洞可能再次出现并且在没有扫描网络的良好知识的情况下,有可能不得不重新...
📅  最后修改于: 2020-12-06 10:31:01        🧑  作者: Mango
套接字是双向通信通道的端点。它们可以在一个进程内,同一台机器上的进程之间或不同机器上的进程之间进行通信。类似地,网络套接字是在计算机网络(例如Internet)上运行的两个程序之间的通信流中的一个端点。它纯粹是虚拟的,并不意味着任何硬件。可以通过IP地址和端口号的唯一组合来标识网络套接字。网络套接字可以在许多不同的通道类型(如TCP,UDP等)上实现。与网络编程中使用的套接字相关的不同术语如下-域...
📅  最后修改于: 2020-12-06 10:31:53        🧑  作者: Mango
端口扫描可以定义为一种监视技术,用于定位特定主机上可用的开放端口。网络管理员,渗透测试人员或黑客可以使用此技术。我们可以根据我们的要求配置端口扫描器,以从目标系统获取最大信息。现在,考虑我们在运行端口扫描后可以获得的信息-有关开放端口的信息。有关在每个端口上运行的服务的信息。有关目标主机的OS和MAC地址的信息。港口扫描就像一个小偷,他想通过检查每扇门和窗户以查看哪些门打开来进入房屋。如前所述,用...
📅  最后修改于: 2020-12-06 10:32:34        🧑  作者: Mango
嗅探或网络数据包嗅探是使用嗅探工具监视和捕获通过给定网络的所有数据包的过程。这是一种形式,我们可以“窃听电话线”并了解对话。它也被称为窃听,并且可以应用于计算机网络。如果打开一组企业交换机端口的可能性很大,那么他们的一名雇员可以嗅探网络的全部流量。位于同一物理位置的任何人都可以使用以太网电缆插入网络,或无线连接到该网络并嗅探总流量。换句话说,嗅探允许您查看各种流量,包括受保护的和不受保护的。在适当...
📅  最后修改于: 2020-12-06 10:33:07        🧑  作者: Mango
ARP可以定义为用于将Internet协议(IP)地址映射到物理机器地址的无状态协议。ARP的工作在本节中,我们将学习ARP的工作原理。考虑以下步骤以了解ARP如何工作-步骤1-首先,当一台机器想要与另一台机器通信时,它必须查询其ARP表以获取物理地址。步骤2-如果找到机器的物理地址,则将数据包转换为正确的长度后,将其发送到所需的机器步骤3-但是,如果在表中找不到IP地址的条目,则ARP_requ...
📅  最后修改于: 2020-12-06 10:34:07        🧑  作者: Mango
无线系统具有很大的灵活性,但另一方面,它也会导致严重的安全问题。而且,这如何成为一个严重的安全问题-因为在无线连接的情况下,攻击者只需要具有可用的信号来进行攻击即可,而不是像有线网络一样具有物理访问权限。与在有线网络上进行渗透测试相比,对无线系统进行渗透测试更容易。我们不能真正针对无线介质采取良好的物理安全措施,如果我们离得足够近,我们将能够“听到”(或至少您的无线适配器能够听到)流过的所有内容。...
📅  最后修改于: 2020-12-06 10:34:55        🧑  作者: Mango
Web应用程序和Web服务器对于我们的在线状态至关重要,观察到的针对它们的攻击构成了Internet上尝试的攻击总数的70%以上。这些攻击试图将受信任的网站转换为恶意网站。由于这个原因,Web服务器和Web应用程序笔测试起着重要的作用。Web服务器的脚印为什么我们需要考虑Web服务器的安全性?这是因为随着电子商务行业的快速发展,攻击者的主要目标是Web服务器。对于Web服务器渗透测试,我们必须了解...
📅  最后修改于: 2020-12-06 10:35:22        🧑  作者: Mango
在本章中,我们将学习验证如何在Python Pentesting中提供帮助。验证的主要目标是测试并确保用户提供了成功完成操作所需的必要且格式正确的信息。有两种不同类型的验证-客户端验证(Web浏览器)服务器端验证服务器端验证和客户端验证在回发会话期间在服务器端进行的用户输入验证称为服务器端验证。 PHP和ASP.Net等语言使用服务器端验证。服务器端的验证过程结束后,将通过生成新的动态网页将反馈发...
📅  最后修改于: 2020-12-06 10:35:59        🧑  作者: Mango
在本章中,我们将学习DoS和DdoS攻击,并了解如何检测它们。随着电子商务行业的蓬勃发展,Web服务器现在容易受到攻击,并且很容易成为黑客的攻击目标。黑客通常会尝试两种类型的攻击-DoS(拒绝服务)DDoS(分布式拒绝服务)DoS(拒绝服务)攻击拒绝服务(DoS)攻击是黑客试图使网络资源不可用。它通常会暂时或无限期中断连接到Internet的主机。这些攻击通常针对托管在关键任务Web服务器上的服务...
📅  最后修改于: 2020-12-06 10:36:33        🧑  作者: Mango
SQL注入是一组放置在URL字符串或数据结构中的SQL命令,以便从与Web应用程序连接的数据库中检索所需的响应。这种类型的攻击通常发生在使用PHP或ASP.NET开发的网页上。可以出于以下意图进行SQL注入攻击-修改数据库的内容修改数据库的内容执行应用程序不允许的其他查询当应用程序在将输入传递给SQL语句之前未正确验证输入时,这种类型的攻击有效。通常将注入放置在地址栏,搜索字段或数据字段中。检测W...
📅  最后修改于: 2020-12-06 10:36:59        🧑  作者: Mango
跨站点脚本攻击是一种注入,也指客户端代码注入攻击。在这里,恶意代码被注入合法网站。同源起源策略(SOP)的概念对于理解跨站点脚本的概念非常有用。 SOP是每个Web浏览器中最重要的安全主体。它禁止网站从其他来源的网页检索内容。例如,网页www.tutorialspoint.com/index.html可以从www.tutorialspoint.com/contact.html访问内容,但www.v...
📅  最后修改于: 2020-12-06 10:37:16        🧑  作者: Mango
以下资源包含有关Python渗透测试的其他信息。请使用它们来获得有关此方面的更深入的知识。Python渗透测试的有用链接Python的渗透测试百科-百科参考Python的渗透测试。关于Python渗透测试的实用书籍要在此页面上注册您的网站,请发送电子邮件至...