网络安全概述
一:什么是黑客?
电影:《我是谁:没有绝对安全的系统》
黑客(hacker):指的是在信息安全里,能够自由的出入对方系统,擅长IT技术的电脑高手。
黑帽黑客
- 专门研究病毒木马、研究操作系统,寻找漏洞,并且以个人意志为出发点,,攻击网络或者计算机,利用漏洞为自己牟利或者破坏别人的系统、数据等。
白帽黑客
- 指那些专门研究或者从事网络计算机技术防御的人,他们通常受雇于各大公司,是维护世界网络、计算机安全的主要力量。很多白帽受雇于公司,对产品进行模拟黑客攻击,以检测产品的可靠性。
红客
- 指维护国家利益,不利用网络技术入侵自己国家电脑,而是“维护正义”,为自己国家争光的黑客。
二:法律法规
中华人民共和国刑法:
- 第285条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
- 第286条:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役:后果特别严重的,处五年以上有期徒刑。
三:渗透测试
3.1 概念
通过模拟恶意黑客的攻击方式,同时是在授权情况下对目标系统进行安全性测试和评估的过程。
重点是测试,是过程,而不是不计后果的攻击或测试防御,它是一套科学流程,不局限于某一工具或者技巧的运用。
很多白帽子在各大公司从事的工作便是web渗透测试。
3.2 流程
确定目标👉信息收集👉漏洞探测👉漏洞利用,获取webshell👉内网渗透👉漏洞验证与修复👉撰写渗透测试报告
- 第一步:确定要渗透的目标,也就是选择要测试的目标网站。
- 第二步:收集目标网站的相关信息,比如操作系统,数据库,端口服务,所使用的脚本语言,子域名以及CMS系统等等。
- 第三步:漏洞探测。利用收集到的信息,寻找目标的脆弱点。
- 第四步:漏洞利用,找到对方系统的弱点后,进一步攻克对方系统,拿到目标系统的权限。
- 第五步:渗透目标内网的其他主机,把获得的目标机器权限,当作跳板,进一步攻克内网其他主机。
- 第六步:验证漏洞与修复漏洞。
- 第七步:清除渗透痕迹,撰写测试报告。
四:网站运行原理
4.1 网站运行原理
服务器的操作系统👉中间件👉数据库👉代码👉静态资源
- 网站搭建在服务器的操作系统之上,例如windows、linux;
- 网站的搭建需要中间件的支撑,例如:tomcat、nginx、apache software foundation;
- 网站的搭建需要数据库存放数据,例如:MySQL、SQL Server;
- 网站页面是由代码编写的,例如:PHP、JSP、ASP(动态服务器页面);
- 网站页面由部分静态资源组成,例如:html、css、JavaScript;
4.2 网站运行流程
- 第一步:浏览器输入网址,进行网站访问,通过DNS解析域名,找到服务器IP地址
- 第二步:发送请求指服务器
- 第三步:服务器接收到请求,并响应请求返回给浏览器
五:环境准备
5.1 VM WARE
VM WARE 是一款虚拟化软件,利用它,我们能够在自己物理机的 windows 系统上再去安装其他的操作系统;
官方Windosws版本:
https://www.vmware.com/go/getworkstation-win
使用激活码进行激活服务;
5.2 kali linux
官方镜像源下载:
http://old.kali.org/kali-images/kali-2022.3/
阿里镜像:
https://mirrors.aliyun.com/kali-images/kali-2022.3/?spm=a2c6h.25603864.0.0.53e4571cpseXgA
5.3 VMware-tools
方便操作虚拟机,可以实现复制粘贴功能;
- 挂载安装包
- 复制安装包到tmp目录下方
- 进入tmp目录
- 解压安装包
- 执行安装脚本
- 安装完成过后重启kali
5.4 kali APT源
kail 的 APT 源就相当于一个软件包管理器。
1 | 打开配置文件 |
- 通过 leafpad 打开源的配置文件 sources.list
- 复制粘贴中科大源进去
- ctrl + s 保存并退出
- 输入命令 apt-get update
1 | kali 写入时出现 E121:无法打开并写入文件 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 爱影客!
