Java教程

系统及数据库

本文主要是介绍系统及数据库,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

前言

除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取

img

操作系统层面

1.识别操作系统常见方法

改变URL中某个字母的大小写,看看对网页有没有影响,因为windows服务器对大小不敏感

img

这个网站对应的操作系统就是Linux服务器

img

也可以用TTL来判断服务器系统,相邻的值来判断

img

img

ip地址可用nmap来判断操作系统

nmap -O 110.242.68.4

img

2.简述两者区别以及识别的意义

网站路径、大小写、文件在两个系统之间的适用性,兼容性
如果判断出是哪种操作系统,就会从操作系统所支持的漏洞类型下手

3.简述操作系统层面漏洞影响范围

通过漏洞去获取权限,对操作系统形成干扰,使得某些服务崩溃

数据库层面

1.识别数据库类型常见方法(1)数据库分类

  • 小型数据库 Access
  • 中型数据库 MySQL
  • 大型数据库 Oracle、SQL Server

2.通过网站及操作系统识别

ASP+Access,sql server (windows)
PHP+Mysql(linux、windows) 端口:3306
ASPX+Mssql(windows) 端口:1433
Jsp+Mssql(windows),oracle (linux、windows)端口:1521
Python+Mongodb (linux、windows)

access和mssql不支持linux操作系统

3.使用nmap工具扫描,查看端口开放情况

sql server--------端口:1433
Mysql-------------端口:3306
Oracle-------------端口:1521
Mongodb---------端口:27017

4.数据库类型区别及识别意义

每个数据库里面的安全机制,内部结构都有些许不一样,同样产生的漏洞也不一样。不同的数据库,攻击方法、漏洞类型及影响都有不同

5.数据库常见漏洞类型及攻击

弱口令攻击:通过弱口令登录到数据库中,得到网站管理员数据信息,登录网站后台,进行修改

6.简述数据库层面漏洞影响范围

通过漏洞,进行攻击,也可以获取数据库的相关权限,进行一系列的操作

第三方层面

1.如何判断有哪些第三方平台和软件

常见的第三方软件:
Jboss,PHPmyadmin,vsftpd,teamview等
比如phpmyadmin的判定• 通过网站扫描其目录来判定,如果网站探测不到,那就通过端口扫描。要多层次判断,不能仅限于端口扫描,根据不同的应用采取不同的方法。• 如果nmap扫描不出来,可能是有第三方防护软件(安全狗)等拦截。还有可能是对方服务部署在内网。

2.简述为什么要识别第三方平台或软件

通过识别第三方软件,来找出漏洞,从而进行渗透测试

3.简述第三方平台或软件安全测试的范围

直接影响到权限

其他

除去常规web安全及app安全测试外,类似服务器单一或复杂的其他服务(邮件,游戏,负载均衡等),也可以作为安全测试目标,此类目标测试原则只是少了web应用或其他安全问题,所以明确安全测试思路是很重要的。

这篇关于系统及数据库的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!