Web渗透测试与防护（慕课版） 课件 单元12 综合实战.pptx

CNNVD和CMS简介Web渗透与防护Web Penetration Testing Protection引入CMS的简介2413CNNVD的简介目CNNVD的页面信息录CMS的分类CNNVD的简介CNNVD 国家信息安全漏洞库China National Vulnerability Database of Information Security2009年10月18日正式成立中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库面向国家、行业和公众提供灵活多样的信息安全数据服务为我国信息安全保障提供基础服务CNNVD的页面信息国家信息安全漏洞共享平台CNVD国家工业信息安全漏洞库CICSVDCMS的简介CMS 内容管理系统Content Management System安全隐患开源用于构建网站、发布网页内容的一体化Web管理系统提供预先设计的模板让用户自定义网站的外观使用者意识旧版本允许不同的用户在友好的交互界面中创建、管理、编辑和发布内容提供附加组件优化网站的功能和页面设计CMS的分类不同的应用场景，不同的CMS：企业网站商城网站个人博客门户网站论坛社区MetInfoSiteServer… …ECShopShopeXhiShop… …WordPressZ-Blog… …DedeCMS帝国CMSPHPCMS… …DiscuzPHPwindWeCenter… …回顾CNNVD页面信息CMSCMS分类漏洞信息补丁信息谢谢观看！THANKS！DedeCMS渗透测试Web渗透与防护Web Penetration Testing ProtectionDedeCMS渗透测试总结231DedeCMS渗透测试环境目DedeCMS渗透测试流程录DedeCMS渗透测试环境DVWA平台中DedeCMS环境虚拟机中的Win10操作系统IP地址06/24用户端物理机PCIP地址为/24DedeCMS渗透测试流程DedeCMS渗透测试流程： 查找环境利用分析执行查找CMS信息环境安装部署CMS漏洞利用获取Web SHELL分析CMS源码DedeCMS渗透测试总结漏洞分析与利用环境部署命令注入攻击查找DedeCMS漏洞信息分析系统的源码，找到DedeCMS对应的代码执行漏洞通过新创建标签文件中的一句话木马，获取服务器的控制权限下载指定版本的DedeCMS访问上传模板页面，获取token值DedeCMS的安装部署构造payload语句，生成一句话木马的标签文件回顾环境流程总结环境部署漏洞分析与利用获取Web SHELL谢谢观看！THANKS！PHPCMS渗透测试Web渗透与防护Web Penetration Testing ProtectionPHPCMS渗透测试总结231PHPCMS渗透测试环境目PHPCMS渗透测试流程录PHPCMS渗透测试环境DVWA平台中PHPCMS环境虚拟机中的Win10操作系统IP地址06/24用户端物理机PCIP地址为/24PHPCMS渗透测试流程PHPCMS渗透测试流程： 查找环境利用分析执行查找CMS信息环境安装部署CMS漏洞利用获取Web SHELL分析CMS源码PHPCMS渗透测试总结漏洞分析与利用环境部署命令注入攻击查找PHPCMS漏洞信息通过代码审计找到PHPCMS的漏洞通过phpcms.php文件获取服务器的控制权限下载指定版本的PHPCMS上传恶意构造的hack.txt文件，执行文件中构造的payload语句PHPCMS的安装部署生成一句话木马文件phpcms.php回顾环境流程总结环境部署漏洞分析与利用获取Web SHELL谢谢观看！THANKS！CMS的常用防护方法Web渗透与防护Web Penetration Testing Protection123CMS渗透测试分析目CMS的常见防护方法录CMS之安全小课堂CMS渗透测试分析PHPCMSDedeCMS通过URL参数写入一句话木马，获取Web SHELL上传恶意的txt文件，执行文件中构造的payload语句，生成一句话木马文件，获取Web SHELLCMS的常见防护方法最直接有效的防护方法修改默认配置删除冗余其他数据库前缀名后台文件名和路径管理员账号和密码删除不常用的文件和文件夹删除不常用的功能输入过滤启用网站安全防火墙，安装安全防护软件CMS之安全小课堂建站需谨慎，后期的网站精心维护一定不可缺少！总结渗透测试分析常见防护方法安全小课堂谢谢观看！THANKS！CMS，也就是内容管理系统，提供的Web应用功能丰富，操作简单易上手，流程也相对完善，能够满足基本的企业网站需求，可以帮助企业方便快捷搭建和管理网站的系统，让用户即使不懂脚本语言和网站开发技术，也能快速地建立自己的网站，并轻松管理网站的内容。但是，哪怕是