还有平台如果可配 FTP的一些服务机器,并配有账号密码时,如果修改服务机器,不清空密码的话,就有可能获取到服务机器的一些账号密码。这需要搭建攻击服务器,请求发送到攻击服务器,就获取了对应的账号密码。可以用python需要去编写怎么搭建一个sftp服务,https服务,mysql的服务。这些都可以学一学。学会了这些相当于可以真正的做渗透测试了。安全大牛可以靠边了。
DNS劫持是一种非常常见且有效的互联网攻击方式,供给制通过攻击域名解析服务器(DNS)或伪造域名解析服务器的方法,篡改目标网站的解析结果,将目标网站的域名解析到错误的地址,导致访问该网站的用户被劫持到被指定的网址,从而实现非法窃取用户信息或破坏正常网络服务的目的。而DNS欺骗可以分为DNS服务器的欺骗和基于用户计算机的欺骗1. DNS服务器的欺骗目标是DNS服务器,攻击者先向DNS服务器发送域名对应的IP的查询请求,如果这个DNS查不到的话,它会向更高级的DNS发送查询请求,这个时候攻击者可以伪造更高级别的DNS服务器来返回一个假的DNS应答包,然后这个DNS服务器就被欺骗了,就会把这个假的映射关系存放在自己的缓存之中,当有网络用户使用此域名时,就上当了。这么做是有局限性的,如果当前DNS已经有了记录就没用了,而且DNS记录是有一定的生存期的,过期就会失效
2. 基于用户计算机的欺骗,比如在一个局域网中有感染ARP病毒的计算机,那么病毒就可以对DNS应答数据包进行拦截,然后替换为一个假的应答数据包来发送给用户,然后这样用户就会访问这个假的服务器,从而成功实施DNS欺骗。
希望能帮到你!
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)