HTTP身份验证浸透测验攻略
在本文中,咱们将为读者介绍怎么给Apache Web服务器装备暗码维护功用,然后约束没有经过身份验证的联机拜访者的拜访权限,能够向未经身份验证的用户躲藏某些要害的信息;与此同时,咱们还会介绍怎么对该装备存在薄弱环节的体系进行浸透测验。
HTTP根本身份验证(HTTP Basic Authentication)简介
在HTTP业务上下文中,根本的拜访权限认证办法,便是HTTP用户署理在宣布恳求时供给用户名和暗码这种办法。
HTTP根本身份验证(BA)是对Web资源施行拜访操控时最简略的一种办法,由于它无需凭借于cookie、会话标识符或登录页;相反,HTTP根本身份验证只需运用HTTP头部中的规范字段,然后无需进行“握手”。
不过,BA机制并没有为传输的凭证供给机密性维护:在传输中,它们仅仅进行了相应的Base64编码,而没有进行任何加密处理或运用其哈希值。因而,咱们更好将HTTPS与根本身份验证调配运用。
有关更多详细信息,请参阅 *** .org
试验设置要求
· Apache服务器(Ubuntu14.04)
· 浸透测验试验机(Kali Linux)
· 设置暗码身份验证
· 装置Apache有用工具包
首要,让咱们经过下面的指令来装置一个名为“htpasswd”的Apache2有用程序包。实际上,htpasswd的效果便是创立和更新用于存储HTTP用户根本身份验证的用户名和暗码的flat-file。
sudo apt-get install apache2 apache2-utils
创立暗码文件。
现在,咱们需求运用htpasswd指令来创立一个暗码文件;Apache将运用该文件对用户进行身份验证,并运用/etc/apache2装备目录中的躲藏文件“.htpasswd”来存储暗码。
sudo htpasswd -c /etc/apache2/.htpasswd raj
cat /etc/apache2/.htpasswd
gedit etc/apache2/sites-enabled/000-default.conf
在虚拟主机界说中完结拜访操控的装备。
现在,咱们需求将下面的装备保存在000-default.conf文件中。
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
凭借.htaccess文件进行拜访操控。
翻开Apache主装备文件,并经过.htaccess文件启用暗码维护功用,然后,增加下面杰出显现的各行内容。
sudo gedit /etc/apache2/apache2.conf
ServerName localhost
为了启用.htaccess规则的相应处理,咱们需求将/var/www目录的装备块中AllowOverride指令行中的“None”改为“All”;然后,保存该文件,并重新启动apache服务。
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
接下来,需求将.htaccess文件增加到需求约束拜访的目录中。就本文来说,我期望约束关于整个网站的拜访,所以,能够经过约束拜访/var/www/html来完成这一意图,不过,读者能够将该文件放在自己期望约束拜访的恣意目录中:
sudo nano /var/www/html/.htaccess
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
sudo service apache2 restart
在装备.htaccess文件时,咱们相应的目录增加了一些选项。下面,让咱们看看这些装备的意义。
AuthType Basic:为咱们的网站设置根本身份验证。
AuthName“Restricted Contents”:在指令行中显现身份验证的称号。
authuserfile/etc/apache2/.htpasswd:显现身份验证文件的方位。
Require valid-user:现已过身份验证并取得拜访权限的用户才干拜访网站。
对暗码身份验证功用进行承认。
测验在Web浏览器中拜访受限内容,以承认内容是否受到了相应的维护。实际上,这是体系将要求输入用户名和暗码,详细如下所示:
假如您将测验在不进行身份验证的情况下拜访网站,则会回来401过错。
假如您是合法用户,并测验运用有用凭证拜访受暗码维护的网站,例如,咱们现已运用RAJ:123创立了一个帐户来拜访Apache HTTP服务:
[1] [2] [3] 黑客接单网
相关文章
Dota Campaign:分析一款挖矿与后门并存的木马-黑客接单平台
就在前不久,我自己布置的一个蜜罐受到了一次特别严重的进犯,其间触及到了两个长途拜访东西和一个加密钱银歹意挖矿文件。接下来,我将在这篇文章中跟咱们剖析一下这一波进犯,并看看进犯者所运用的进犯技能。值得一...
网上接单的黑客可信吗_怎么找黑客破解微信
有11月不过大多数时分,由于手动内存办理比较费事,很多人会挑选主动内存办理。 别的,大多数用户对功能不灵敏,所以整体来说,手动内存办理的运用不太多。 关于常见的一些状况,手动内存办理乃至或许会让功能更...
一场杀戮MongoDB的盛宴反思:超33000个数据库遭侵略
许多人没有想到,上一年12月一件不起眼的小事,在新年伊始却演化成了一场残杀。现在,受害的一方好像正因为本身的忽略和愚钝而显得益发无力抵挡,一个接一个倒下。 截止本周三(1月11日),现已有20名以上...
专业黑客接单菠菜_求一黑客帮我找号-网络黑客哪里找
「专业黑客接单菠菜_求一黑客帮我找号-网络黑客哪里找」简直一切的样本都需求动态的解码才干获取到相关的函数调用。 阐明:译者:杰微刊兼职翻译汪建从前闻名的UTF-7 XSS便是浏览器依据文件内容的头几个...
中国黑客团队接单_找黑客如何查询别人的微信聊天记录
· 全球最大的虚拟钱银数字财物买卖所服务渠道官方Binance遭受垂钓进犯,很多使用过API量化买卖的用户发现自己在Binance的数字钱银账户被盗,账户持有的钱银未经赞同就被主动出售,出售取得的比特...
Web服务器集群建立
一 需求剖析: 1.全体需求:建立一个高可用的网站服务器集群,能接受高并发恳求,能抵御一般的网络进犯,任何一台服务器的退服不影响整个集群的运作,而且能对各服务器的运转状况作出实时监控。 2.详细需求剖...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!