【网络安全】Web安全基础 - 第一节:使用软件及环境介绍

VMware

VMware,是全球云基础架构和移动商务解决方案的佼佼者。

VMware可是一个总部位于美国加州帕洛阿尔托的计算机虚拟化软件研发与销售企业呢。简单来说,它就是通过提供虚拟化解决方案,让企业在数据中心改造和公有云整合业务上更加得心应手。
VMware推出了很多优秀的虚拟化产品,比如VMware Workstation,这是针对个人用户的桌面虚拟计算机软件,可以让用户在单一的桌面上同时运行不同的操作系统。还有VMware Fusion,这是专门为Mac用户提供的虚拟化产品,让Mac也能轻松运行Windows系统。当然啦,还有企业级的产品VMware vSphere,这可是业界领先且最可靠的虚拟化平台。

此外,VMware还有一个重要的合作伙伴,那就是阿里云。阿里云与VMware合作开发了基于阿里云与VMware的战略合作的企业级云上VMware SDDC公共云服务。这个服务具备云服务的即开即用、弹性等特点,可以帮助用户轻松把现有VMware工作负载从本地数据中心迁移或扩展至阿里云上。

在网络安全中,我们主要使用VMware Workstation(Mac用户使用Vmware Fusion)

VMware Workstation概述:
VMware Workstation是一款功能强大的桌面虚拟计算机软件。它允许用户在同一台计算机上同时运行多个不同的操作系统,为开发、测试、部署新的应用程序提供了最佳解决方案。
产品特点:
多操作系统支持:VMware Workstation支持在单台计算机上运行多个虚拟机实例,可以运行Windows、Linux、Mac OS等多种操作系统。
网络模拟:可以在一部实体机器上模拟完整的网络环境,便于进行网络相关的测试和开发。
快照功能:支持虚拟机快照,可以快速备份整个虚拟机状态,方便在出现问题时快速恢复。
高级功能:提供USB传输、虚拟磁盘扩展、多屏幕支持、3D图形加速等高级功能。
易用性:具有图形化的安装和管理界面,用户可以通过简单的操作来创建、配置和管理虚拟机。
应用场景:
软件开发与测试:开发人员可以使用VMware Workstation来搭建和测试不同的开发环境。
系统管理员:系统管理员可以利用VMware Workstation进行虚拟网路配置、实时快照等操作,提高工作效率。

Kali

Kali Linux是基于Debian的Linux发行版,旨在进行高级渗透测试和安全审核。

主要特性
预装软件:Kali Linux预装了许多渗透测试软件,包括nmap、Wireshark、John the Ripper、Aircrack-ng等,总计超过300个安全测试和渗透工具。
更新频率:Kali Linux每一季度更新一次,确保其工具集的最新性和安全性。
架构支持:Kali Linux既有32位和64位的镜像,可用于x86指令集的平台。此外,还有基于ARM架构的镜像,可用于树莓派和ARM系统。

安全性与开源
开源Git树:Kali Linux是开源软件的忠实拥护者,源代码可供那些想 调整或重建软件包的人浏览。
安全开发环境:Kali Linux的开发团队由一群可信任的人组成,他们在使用多种安全协议时才能提交软件包或管理源。
GPG签名:每个开发者在编译和提交Kali的软件包时都会对其进行签名,确保软件包的安全性和完整性。

多语言支持
多语言界面:虽然渗透工具更倾向于英语,但Kali Linux确保有多国语言支持,以满足不同用户的需求。

定制性
完全可定制:Kali Linux允许用户根据自己的喜好和需求进行定制,甚至包括定制内核。

适用范围
数字取证:用于磁盘恢复、内存分析、PDF审计、注册表审计等数字取证任务。
渗透测试:评估网络系统安全,使用其预装工具进行白帽黑客活动。
无线网络攻击:攻击WPA/WPA2保护的无线网络,获取WiFi密码或进行网络嗅探。
密码破解:离线破解哈希密码或在线破解网站登录密码。

其他特性
ARMEL和ARMHF支持:针对ARM设备的支持,使得Kali Linux能在更多设备上运行。
集成注入补丁的内核:用于无线安全评估,确保系统的内核包含最新的注入补丁。
总之,Kali Linux是一个功能强大、安全可靠的Linux发行版,特别适用于数字取证和渗透测试等领域。其丰富的预装工具、高度的定制性和安全性,使其成为安全研究和专业人员的首选工具之一。

LAMP

LAMP是指一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。

Linux:作为LAMP架构的基础,提供用于支撑Web站点的操作系统。Linux是一个强大而稳定的系统,能够与其他组件协同工作,提供良好的稳定性和兼容性。
Apache:作为LAMP架构的前端,Apache是一款功能强大、稳定性好的Web服务器程序。它直接面向用户提供网站访问服务,发送网页、图片等文件内容。
MySQL(或MariaDB):作为LAMP架构的后端,MySQL是一款流行的开源关系数据库系统。它可以存储各种账户信息、产品信息、客户资料、业务数据等,并通过SQL语句进行查询和修改。
PHP(或Perl、Python):作为中间连接,PHP等脚本语言负责解释动态网页文件,沟通Web服务器和数据库系统以协同工作。其中,PHP是一种被广泛应用的开放源代码的多用途脚本语言,尤其适合Web应用开发。

总的来说,LAMP架构通过这四个组件的协同工作,提供了动态Web站点服务及其应用开发环境。它的优点是开源、免费、稳定、高效,因此被广泛应用于各种Web应用中。

DVWA

DVWA是一个易受攻击的PHP/MySQL Web应用程序,其主要目标是帮助安全专业人员在法律允许的环境中测试他们的技能和工具,帮助Web开发人员更好的了解和保护Web应用程序的过程。

DVWA,全称Damn Vulnerable Web Application,是一个开源的、用于安全脆弱性鉴定的PHP/MySQL Web应用。它旨在提供一个可实践的安全训练环境,帮助安全专业人员、Web开发者以及爱好者们测试自己的技能,学习如何识别和修复Web应用中的安全漏洞。

DVWA的特点和用途:
模拟真实漏洞:
DVWA模拟了多种常见的Web应用安全漏洞,如SQL注入、跨站脚本(XSS)、文件包含、命令注入等。
每个漏洞都精心设计,模拟真实世界中的攻击场景,让学习者能够直观地感受漏洞的危害。
难度分级:
DVWA将每个漏洞设置为“低”、“中”、“高”和“不可能”四种难度级别,逐步挑战学习者的技能。
这种设计有助于学习者从易到难地深入理解漏洞的本质和防御策略。
开源与实时反馈:
DVWA是开源的,学习者可以深入研究其内部机制,学习如何构建不安全的应用以及如何避免这些问题。
每次尝试攻击都会立即得到结果,有助于学习者快速学习和迭代。
应用场景丰富:
教学:对于网络安全课程,教师可以引导学生在DVWA上亲手操作,直观地感受漏洞的危害。
自我提升:开发者可以通过攻破自己创建的DVWA实例,提升对Web安全的理解,从而更好地编写安全的代码。
渗透测试:安全专业人士可以用DVWA进行实践演练,提高自己的渗透测试能力。
一站式学习环境:
DVWA包含了OWASP TOP 10的所有攻击漏洞的练习环境,一站式解决所有Web渗透的学习 需求。

BurpSuit

核心功能:
BurpSuite包含多个工具,这些工具设计有众多接口,旨在加速对web应用程序的攻击过程。
所有工具共享一个请求,能够处理HTTP消息、持久性、认证、代理、日志和警报等功能。

主要模块:
Proxy(代理):作为浏览器和目标应用程序之间的中间人,拦截、查看和修改HTTP/S请求和响应的原始数据流。
Spider(网络爬虫):智能感知应用程序,枚举其内容和功能。
Scanner(扫描器,仅限专业版):自动发现web应用程序的安全漏洞。
Intruder(入侵):高度可配置的工具,用于自动化攻击web应用程序,如枚举标识符、收集数据和使用fuzzing技术探测漏洞。
Repeater(中继器):手动操作补发HTTP请求并分析应用程序响应。
Sequencer(会话):分析应用程序会话令牌和重要数据项的随机性。
Decoder(解码器):手动执行或智能解码编码应用程序数据。
Comparer(对比):通过请求和响应获取两项数据的可视化差异。

使用方式:
BurpSuite启动后,Burp Proxy默认开启8080端口作为本地代理接口。
用户需设置浏览器使用其代理服务器,以拦截、查看和修改网站流量。

特殊功能:
可以通过BurpSuite的IburpExtender来扩展其功能。
各个工具处理的数据结果可相互使用,产生更多结果。
安全应用:
由于完全控制每个请求,用户能以非入侵方式探测敏感应用。
在浏览网页时,通过自动扫描代理请求可发现安全漏洞。
浏览器代理设置:
谷歌浏览器和火狐浏览器等需设置代理服务器为127.0.0.1,端口为8080(默认设置)。

以及需要配置Java和Python环境,网上教程很多,在此不再赘述。

其他工具遇到了再讲。
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/20231.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

QImage和QPixmap的区别和使用

一、基本概念和特点 QImage 概念:QImage是Qt库中用于处理图像数据的一个类。它提供了直接访问和操作图像像素的接口。特点: 可以独立于屏幕分辨率和设备处理图像。支持读取和保存多种图像格式,如PNG、JPEG、BMP等。可以在没有图形界面的情况…

图论第二天

最近加班时间又多了,随缘吧,干不动就辞呗。真是想歇几天了,题不能停!!今天目前只做了一道题,先用两种方式把他搞出来。 695. 岛屿的最大面积 class Solution { public:int neighbor[4][2] {1,0,0,-1,-1,…

Linux系统管理基础002

Linux系统管理基础之文件管理二 Linux文件管理是系统管理中的重要组成部分 1.文件与目录的基本概念 2. 特殊目录与文件 3. 文件与目录的操作 4. 文件权限管理 5. 查找处理文件 6. 关联技巧 今天给大家介绍一下目录的结构 1.文件与目录的基本概念 管理类目录: …

FreeRTOS基础(三):动态创建任务

上一篇博客,我们讲解了FreeRTOS中,我们讲解了创建任务和删除任务的API函数,那么这一讲,我们从实战出发,规范我们在FreeRTOS下的编码风格,掌握动态创建任务的编码风格,达到实战应用! …

用贪心算法进行10进制整数转化为2进制数

十进制整数转二进制数用什么方法?网上一搜,大部分答案都是用短除法,也就是除2反向取余法。这种方法是最基本最常用的,但是计算步骤多,还容易出错,那么还有没有其他更好的方法吗? 一、短除反向取…

AdroitFisherman模块安装日志(2024/5/31)

安装指令 pip install AdroitFisherman-0.0.29.tar.gz -v 安装条件 1:Microsoft Visual Studio Build Tools 2:python 3.10.x 显示输出 Using pip 24.0 from C:\Users\12952\AppData\Local\Programs\Python\Python310\lib\site-packages\pip (python 3.10) Processing c:\u…

matlab GUI界面设计

【实验内容】 用MATLAB的GUI程序设计一个具备图像边缘检测功能的用户界面,该设计程序有以下基本功能: (1)图像的读取和保存。 (2)设计图形用户界面,让用户对图像进行彩色图像到灰度图像的转换…

3-哈希表-21-两个数组的交集-LeetCode349

3-哈希表-21-两个数组的交集-LeetCode349 参考:代码随想录 LeetCode: 题目序号349 更多内容欢迎关注我(持续更新中,欢迎Star✨) Github:CodeZeng1998/Java-Developer-Work-Note 技术公众号:CodeZeng1998&…

2.1 OpenCV随手简记(二)

为后续项目学习做准备,我们需要了解LinuxOpenCV、Mediapipe、ROS、QT等知识。 一、图像显示与保存 1、基本原理 1.1 图像像素存储形式 首先得了解下图像在计算机中存储形式:(为了方便画图,每列像素值都写一样了)。对于只有黑白颜色的灰度…

[有监督学习]2.详细图解正则化

正则化 正则化是防止过拟合的一种方法,与线性回归等算法配合使用。通过向损失函数增加惩罚项的方式对模型施加制约,有望提高模型的泛化能力。 概述 正则化是防止过拟合的方法,用于机器学习模型的训练阶段。过拟合是模型在验证数据上产生的误…

Java文件IO

White graces:个人主页 🙉专栏推荐:Java入门知识🙉 🙉 内容推荐:JUC常见类🙉 🐹今日诗词:东风吹柳日初长,雨馀芳草斜阳🐹 ⛳️点赞 ☀️收藏⭐️关注💬卑微小博主&…

Three.js 研究:4、创建设备底部旋转的科技感圆环

1、实现效果 2、PNG转SVG 2.1、原始物料 使用网站工具https://convertio.co/zh/png-svg/进行PNG转SVG 3、导入SVG至Blender 4、制作旋转动画 4.1、给圆环着色 4.2、修改圆环中心位置 4.3、让圆环旋转起来 参考一下文章 Three.js 研究:1、如何让物体动起来 Thre…

LeetCode # 1070. 产品销售分析 III

1070. 产品销售分析 III 题目 销售表 Sales: ------------------ | Column Name | Type | ------------------ | sale_id | int | | product_id | int | | year | int | | quantity | int | | price | int | ------------------ (sale_id, year) 是这张表的主键&am…

“论SOA在企业集成架构设计中的应用”必过模板,突击2024软考高项论文

考题部分 企业应用集成(Enterprise Application Integration, EAI)是每个企业都必须要面对的实际问题。面向服务的企业应用集成是一种基于面向服务体系结构(Service-OrientedArchitecture,SOA)的新型企业应用集成技术,强调将企业和组织内部的资源和业务功…

VSCode界面Outline只显示类名和函数名,隐藏变量名

参考链接 https://blog.csdn.net/Zjhao666/article/details/120523879https://blog.csdn.net/Williamcsj/article/details/122401996 VSCode中界面左下角的Outline能够方便快速跳转到文件的某个类或函数,但默认同时显示变量,导致找某个函数时很不方便。…

mimkatz获取windows10明文密码

目录 mimkatz获取windows10明文密码原理 lsass.exe进程的作用 mimikatz的工作机制 Windows 10的特殊情况 实验 实验环境 实验工具 实验步骤 首先根据版本选择相应的mimikatz 使用管理员身份运行cmd 修改注册表 ​编辑 重启 重启电脑后打开mimikatz 在cmd切换到mi…

Seq2Seq模型:详述其发展历程、深远影响与结构深度剖析

Seq2Seq(Sequence-to-Sequence)模型是一种深度学习架构,专为处理从一个输入序列到一个输出序列的映射任务设计。这种模型最初应用于机器翻译任务,但因其灵活性和有效性,现已被广泛应用于自然语言处理(NLP&a…

医院该如何应对网络安全?

在线医生咨询受到很多人的关注,互联网医疗行业的未来发展空间巨大,但随着医院信息化建设高速发展 医院积累了大量的患者基本信息、化验结果、电子处方、生产数据和运营信息等数据 这些数据涉及公民隐私、医院运作和发展等多因素,医疗行业办…

【QEMU中文文档】1.关于QEMU

本文由 AI 翻译(ChatGPT-4)完成,并由作者进行人工校对。如有任何问题或建议,欢迎联系我。联系方式:jelin-shoutlook.com。 QEMU 是一款通用的开源机器仿真器和虚拟化器。 QEMU 可以通过几种不同的方式使用。最常见的用…

OrangePi AIpro--新手上路

目录 一、SSH登录二、安装VNC Sevice(经测试Xrdp远程桌面安装不上)2.1安装xface桌面2.2 配置vnc服务2.2.1 设置vnc server6-8位的密码2.2.2 创建vnc文件夹,写入xstartup文件2.2.3 给xstartup文件提高权限2.2.4 在安装产生的vnc文件夹创建xsta…