揭秘网络安全攻防战：信息收集和暗码破解的黑客技巧与防护计谋 ...

本日我们将专注于网络安全基础知识的练习，包括信息收集和弱口令暗码破解。在信息收集方面，我们将重点介绍目录信息的收集方法。例如，我们会讨论如何解析类似于"https://域名/path"这样的路径信息，特殊是当这些路径信息是我们之前未曾相识的情况下。而在暗码破解方面，我们将重要探讨通过简单的弱口令破解方法来实现。末了，我也会在讲授的过程中顺带介绍一些如何有用防范这种渗透的方法。
在进行攻防演示时，我碰到了各种挑衅，EdgeOne也不例外，但幸运的是，腾讯云客服给予了我极大的支持和帮助，他们耐烦解决了我的问题。正因如此，我在上一篇文章中重要测试了利用无域名方式的 IP 的边沿函数的缓存功能。由于各种问题导致我还没有涉及域名对接并展示 web 防护功能，但这篇文章对于那些刚开始接触边沿函数的人来说也是一个很好的参考资料：
实践指南：EdgeOne与HAI的梦幻联动
攻防测试

本日我要评论的主题重要涉及两种常见的方案。首先是信息收集，也就是利用扫描器收集我域名下的目录。在这个阶段，你必须先相识你要攻击的目的，因为没有目的，你又怎么大概进行暴力破解呢？其次，我们会探讨利用Burp Suite进行暗码暴力破解的方法。Burp Suite作为一款常见的破解工具，利用广泛。通过这两种方式，我将向你展示如何设置基本的防护功能，并表明EdgeOne是如何进行拦截的。
信息办理

首先，我们必须明白一点，我们不能利用他人的域名进行攻击，这是违法行为。因此，我们只能攻击我们自己的网站。在预备好服务器之后，我在网站上安装了一个名为“海洋网站”的CMS，重要用于浏览视频。你可以在下图中看到网站的外观。

首先，我得明白海洋这类网站通常都会有一个管理背景。不过，这个管理背景通常由一串包含六位随机字符的类似于宝塔的URL构成。因此，我需要利用一个工具来对这些URL进行搜索。这时候，我会选择利用DirBuster。假如你对此感爱好，可以自行搜索并下载这个工具。下载完成后，我需要进行一系列的设置，确保工具能够正常运行。

当我设置了10个线程时，这里的设置是针对特定的需求。然而，你也可以选择增加更多线程。由于我的域名已经设置了Edgeone，因此在启用之前，我们需要先将Edgeone的防御规则转换为全局观察状态。否则，我们将无法充分相识其安全防护效果。
让我们首先对防护计谋进行调整。假如您没有设置按钮，大概会进入的不是全局计谋。在这种情况下，您需要点击一下，详细操纵如下图所示：

当我们进入这个阶段时，我们可以开始设置规则了。我们将托管机制变化为全局观察，暂时不进行拦截。

在启用此选项后，我们将实行一系列暴力搜索算法。

由于我们采用扫描器进行扫描，已确认EdgeOne已探测到该问题。为此，我们将进一步关闭全局观察模式，使EdgeOne能够启用主动拦截和防护功能。这一办法将有助于加强系统的安全性，提高对潜在威胁的应对本领。

很容易就能够拦截下来这一问题。若我的网站未经EdgeOne防护，恐怕用户很容易便能够突破安全措施，进而篡改管理背景界面，从而对网站进行不妥操纵。这种情况下，网站的安全性将受到严重威胁，用户的敏感信息大概遭受泄露，乃至引发严重的结果。
除了收集目录外，用户还大概收集各种页面，如JSP等。因此，我实行了速率限定措施以防止这种情况发生。必须要进行适当的增加，否则我们的网站安全将受到严重威胁，大概导致严重的数据泄露或系统遭受攻击，影响业务稳定性和用户信任度。

在这里，我想趁便介绍另一个简单但有用的工具——御剑。假如你不对其进行限定，即使是最简单的御剑工具也能够轻易搜索到大量页面。因此，我们有必要简单设置一下速率问题，以防止遭受暴力收集行为的影响。
在Web防护页签中，您可以找到速率限定选项进行相应设置。

接下来，我们需要对后缀进行匹配，并进行相应设置，以实行访问频率限定。终极，在选择计谋时，应根据个人需求考虑是否采取拦截措施。

在评估防护效果时，可以明显看到其体现相当精彩。

假如网站当前没有设置EdgeOne的安全防护，那么借助暴力搜索的方法，我几乎可以肯定地说我将能够成功获取到管理背景的入口界面。

在这个阶段，情况已经相当危险了。尽管目录已经被转换成了六位随机值，类似于宝塔面板的方式，但假如系统没有配备有用的安全防护措施，那么现在几乎就差用户的账号暗码被袒露了。
暴力破解暗码

在这种情况下，我们正处于一种极度状态，即暴力破解用户名和暗码的阶段。在这种情况下，验证码的实行实际上已经不再是重要问题，因为可以通过安装一个实用于burp_suite的插件来应对。然而，这并非我们此时的重点。我们要做的是启动burp_suite，然后仔细观察EdgeOne的防护功能。首先，由于我并不知道正确的用户名和暗码，所以我需要利用burp_suite来捕捉数据包，并尝试通过暴力破解来获取凭据。让我们来详细相识一下：

首先，我们先简单地填入一个数值，然后通过详细的表明，逐步展示如何进行暗码的暴力破解攻击。在此过程中，我们将重点关注 EdgeOne 的防护机制，并深入探讨其功能及其有用性。

在一切预备就绪之后，展开对网站的攻击。

在成功突破之后，我们面对了一种相当危险的情况，因此我们需要仔细检察问题区域，并采取措施来解决此中的问题。
EdgeOne流量分析

这种情况不太大概被系统的托管机制所捕捉到，因此我们需要自己来解决。首先，我们需要查看当前排名前5或前10的流量情况，以便追踪任何可疑的运动线索。毕竟，暴力破解需要耗费相当的时间，假如仅利用单线程进行攻击，速度会非常缓慢，因此攻击者通常会选择高并发区进行攻击。这时候，分析流量就显得至关重要了。以下是我对当前流量情况的分析。

在观察中发现，背景登录地址的访问频率远远凌驾了首页的访问量。考虑到这是一个视频网站，除了管理员之外，一般用户不会频繁访问背景登录页面。因此，有必要限定背景登录页面的访问速度，以确保系统安全性。
背景登录速率限定

接下来，我们需要针对背景登录进行单独设置，以加强防护，避免遭受暴力破解攻击。在此过程中需要特殊注意请求方式，因为之前的做法是直接封禁了整个登录页面，这大概会影响到正常用户的访问。我们实际上只需要针对登录按钮进行封禁，而不是整个页面。这样可以确保我们防护措施的精确性，避免不必要的影响。

再来看一下我们所做的调整对安全防护效果的影响：

国外地区全封禁

我通常会采取一种更加严谨的安全计谋，因为对于自己的服务器总是遭受外国攻击这种情况，我总是显得有些战战兢兢。我的通例做法是直接将国外的访问全面封禁，只允许国内的访问。举例来说，像宝塔面板提供了这样的功能，但需要逐个国家进行单独的设置，而 EdgeOne 则提供了一种更为便捷的方法，可以直接选中除了中国大陆以外的所有IP地址。在进行完IP地址的切换后，访问一次，以确保安全防护效果得到了有用的实行。

我注意到，我已经发送了一次请求，但是有大量来自国外地址的访问。国外真可怕~
常见问题处理

当我遭碰到各种问题时，我不仅将其详细罗列出来，而且积极与客服进行沟通，以便解决。我希望这些经验可以为其他人提供帮助和指导。
域名无法添加

在进行这一步之前，将我的域名解析切换到了EdgeOne，但是仍旧面对无法添加域名的问题，详细情况如下所示：

解决这个问题的方法是需要与客服进行沟通，最好是在非节假日的时间进行，因为在明朗节期间并未得到处理。尽管如此，我并不急于解决这个问题，因此也没有太在意。重要的缘故原由是存在一些脏数据需要清算，待背景人员完成处理后，即可正常添加。
安全防护满是观察

我已经亲身攻击了我的网站，并且也被系统检测到了，但仍未受到任何拦截。不绝在观察。

在解决这个问题时，我首先与客服进行了沟通。在交流后，我发现自己之前并没有关闭全局观察功能。我已经忘记了是否是我自己打开了这个功能。客服告诉我默认情况下是关闭的，好吧。

以计谋ID为主

当我们碰到问题时，通常会更倾向于利用笔墨而不是ID进行查找，因为笔墨更容易记忆。然而，存在一种情况，即某些计谋大概具有雷同的笔墨描述，但其对应的ID却不同。

解决方法：我们建议以ID为主来进行处理，确保不会误拦截请求。以下是官方提供的表明：

• 对于ID 4401214204：我们进行检测以防OpenVAS、WhatWeb、阿里云、天融信等扫描器的存在。
  
• 对于ID 4345943414：我们进行检测以防sqlmap、nessus、arachni、sql power injector、AWVS、appscan等扫描器的存在。
  
• 对于ID 4401215204：我们进行检测以防nmap、wikto、gobuster、network-services-auditor等扫描器的存在。
  

频率拦截不住

在这一步，请务必注意，在完成设置后，耐烦等候约莫5分钟以便进行设置的革新。在调整速率设置时，建议将拦截时间延伸，最好设置得更长一些，这样可以获得更好的效果。

总结

本日的学习重点是网络安全基础知识，包括信息收集和弱口令暗码破解。在信息收集方面，我们学习了目录信息的收集方法，特殊是如何解析路径信息。在暗码破解方面，我们讨论了利用简单的弱口令破解方法。同时，我也介绍了一些有用的防范渗透的方法。
攻击方面，我们讨论了信息收集和暗码破解的常见方案，并利用DirBuster和Burp Suite等工具进行实践。我们还介绍了EdgeOne的防护功能，包括目录收集的防护和暗码暴力破解的防护。
总的来说，本日的学习让我对网络安全基础知识有了更深入的相识，并学到了一些实践经验和问题处理技巧。我相信这些知识和经验对于提高网络安全意识和应对潜在威胁非常有帮助。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。