当前位置：首页 > news >正文

网络安全之端口扫描（一）

news 2026/5/30 20:48:40

前置介绍

什么是DVWA？

DVWA（Damn Vulnerable Web Application）是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序，供安全专业人员、渗透测试人员、学生和开发人员用来练习和提升他们的技能。

DVWA的主要特点：

多种漏洞类型：DVWA包含多种常见的Web应用程序漏洞，如SQL注入、XSS（跨站脚本攻击）、CSRF（跨站请求伪造）、文件包含漏洞、命令注入等。这使用户可以在一个环境中练习和理解不同类型的漏洞。
不同的安全级别：DVWA提供不同的安全级别（低、中、高和不可能），以帮助用户逐步提高他们的技能和理解。这些级别通过改变应用程序代码和配置的复杂性来增加挑战。
教育目的：DVWA的设计初衷是用于教育目的，帮助用户理解和识别Web应用程序中的常见漏洞，以及如何利用这些漏洞。
社区支持和扩展：DVWA有一个活跃的社区，用户可以共享他们的经验、工具和技巧。它还可以与其他安全工具集成，以创建更全面的学习和测试环境。

使用DVWA的注意事项：

安全环境：由于DVWA是故意不安全的应用程序，它应仅在安全和隔离的环境中使用，例如本地虚拟机或专用实验室环境，以防止对生产系统或不安全网络造成影响。
学习和测试目的：DVWA应仅用于合法的学习和测试目的。未经授权的测试或在他人系统上使用可能违反法律法规。

集群环境

k8s-master	192.168.58.231
k8s-node1	192.168.58.232
k8s-node2	192.168.58.233

部署测试用服务（端口扫描目标）

[root@k8s-master ~]# kubectl create namespace security-test
namespace/security-test created
[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: apps/v1
> kind: Deployment
> metadata:
>   name: nginx
>   namespace: security-test
> spec:
>   replicas: 1
>   selector:
>     matchLabels:
>       app: nginx
>   template:
>     metadata:
>       labels:
>         app: nginx
>     spec:
>       containers:
>       - name: nginx
>         image: nginx:latest
>         ports:
>         - containerPort: 80
> EOFdeployment.apps/nginx created

暴露Service（NodePort类型，便于外部访问）

[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Service
> metadata:
>   name: nginx
>   namespace: security-test
> spec:
>   type: NodePort
>   selector:
>     app: nginx
>   ports:
>     - port: 80
>       targetPort: 80
>       nodePort: 30080
> EOF
service/nginx created[root@k8s-master ~]# kubectl get pod -n security-test
NAME                    READY   STATUS    RESTARTS   AGE
nginx-585449566-n4nxf   1/1     Running   0          57s

部署带漏洞的Web应用（SQL注入测试目标）

#手动先拉取镜像
[root@k8s-master ~]# docker pull vulnerables/web-dvwa:latest
latest: Pulling from vulnerables/web-dvwa
3e17c6eae66c: Pull complete 
0c57df616dbf: Pull complete 
eb05d18be401: Pull complete 
e9968e5981d2: Pull complete 
2cd72dba8257: Pull complete 
6cff5f35147f: Pull complete 
098cffd43466: Pull complete 
b3d64a33242d: Pull complete 
Digest: sha256:dae203fe11646a86937bf04db0079adef295f426da68a92b40e3b181f337daa7
Status: Downloaded newer image for vulnerables/web-dvwa:latest
docker.io/vulnerables/web-dvwa:latest[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: apps/v1
> kind: Deployment
> metadata:
>   name: dvwa
>   namespace: security-test
> spec:
>   replicas: 1
>   selector:
>     matchLabels:
>       app: dvwa
>   template:
>     metadata:
>       labels:
>         app: dvwa
>     spec:
>       containers:
>       - name: dvwa
>         image: vulnerables/web-dvwa:latest
>         ports:
>         - containerPort: 80
> EOF
deployment.apps/dvwa unchanged
[root@k8s-master ~]# kubectl get pod -n security-test -w
NAME                    READY   STATUS    RESTARTS   AGE
dvwa-5666759b95-bp8zt   1/1     Running   0          72s
nginx-585449566-n4nxf   1/1     Running   0          8m41s

暴露Service（NodePort类型）

[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Service
> metadata:
>   name: dvwa
>   namespace: security-test
> spec:
>   type: NodePort
>   selector:
>     app: dvwa
>   ports:
>     - port: 80
>       targetPort: 80
>       nodePort: 30081
> EOF
service/dvwa created

开发Python安全测试脚本

端口扫描

已成功检测到Kubernetes节点192.168.58.232的开放端口（30080和30081）

[root@k8s-master ~]# python3 port_scanner.py --target 192.168.58.232 --start-port 30000 --end-port 30100 --output k8s_ports.txt
[+] 30080/TCP Open
[+] 30081/TCP OpenScan completed in 0:00:00.229895
Open ports saved to k8s_ports.txt
[root@k8s-master ~]# ll
total 436
-rw-------. 1 root root   1244 Dec 25 07:02 anaconda-ks.cfg
-rw-r--r--. 1 root root 238376 Dec 25 08:22 calico.yaml
-rw-r--r--. 1 root root 189916 Dec 25 08:04 calico.yaml.0
-rw-r--r--. 1 root root     12 Mar  9 05:04 k8s_ports.txt
-rw-r--r--. 1 root root   1660 Mar  9 05:03 port_scanner.py
[root@k8s-master ~]# cat k8s_ports.txt 
30080
30081

SQL注入

[root@k8s-master ~]# python3 sql_detector.py --url http://192.168.58.232:30081/login.php --method POST --param username[*] Testing URL: http://192.168.58.232:30081/login.php
[+] Payload成功: ' OR '1'='1
[!] SQL Injection vulnerability detected!

网络安全之端口扫描（一）

前置介绍什么是DVWA？ DVWA（Damn Vulnerable Web Application）是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序，供安全专业人员、渗透测试人员、…...

编程日记 2025/3/10 21:30:35

HCIE云计算学什么？怎么学？未来职业发展如何？

随着云计算成为IT行业发展的主流方向，HCIE云计算（华为认证云计算专家）作为华为认证体系中的高端认证之一，逐渐成为了许多网络工程师和IT从业者提升职业竞争力的重要途径。那么，HCIE云计算究竟学什么内容，如…...

编程日记 2025/3/10 21:27:31

upload-labs文件上传

第一关上传一个1.jpg的文件，在里面写好一句webshell 保留一个数据包，将其中截获的1.jpg改为1.php后重新发送可以看到，已经成功上传第二关写一个webshell如图，为2.php 第二关在过滤tpye的属性，在上传2.php后使用b…...

编程日记 2025/3/10 21:22:25

操作系统控制台-健康守护我们的系统

引言基本准备体验功能健康守护系统诊断收获提升结语引言阿里云操作系统控制平台作为新一代云端服务器中枢平台，通过创新交互模式重构主机管理体验。操作系统控制台提供了一系列管理功能，包括运维监控、智能助手、扩展插件管理以及订阅服务等。用户可以…...

编程日记 2025/3/10 21:21:24

财务会计域——合并报表系统设计

摘要本文主要介绍了合并报表系统的设计，包括其背景、业务流程和系统架构设计。合并报表系统可自动化生成数据，减少人为错误，确保报表合规。其业务流程涵盖数据收集、标准化、合并调整、报表生成、审核及披露等环节。系统架构设计包括数据接…...

编程日记 2025/3/10 21:14:16

教务考试管理系统-Sprintboot vue

一、前言 1.1 实践目的和要求本次实践的目的是为了帮助学生强化对实践涉及专业技术知识的理解，掌握专业领域中软件知识的应用方法，并了解软件工程在具体行业领域的发展趋势。通过培养学生利用软件工程方法分析、设计并完成具体行业软件开发的能力&…...

编程日记 2025/3/10 21:11:11

vue实现一个pdf在线预览，pdf选择文本并提取复制文字触发弹窗效果

[TOC] 一、文件预览 1、安装依赖包这里安装了disjs-dist2.16版本，安装过程中报错缺少worker-loader npm i pdfjs-dist2.16.105 worker-loader3.0.8 2、模板部分 <template><div id"pdf-view"><canvas v-for"page in pdfPages&qu…...

编程日记 2025/3/10 21:10:02

【CSS 】Class Variance Authority CSS 类名管理工具库

1.背景、什么是 CVA？ Class Variance Authority (CVA) 是一个用于管理 CSS 类名的工具库，特别适合在 React 或 Vue 等前端框架中使用。它可以帮助你更轻松地处理组件的样式变体（Variants），比如按钮的不同状态&#…...

编程日记 2025/3/10 21:08:59

自然语言处理：文本分类

介绍大家好，我这个热衷于分享知识的博主又来啦！之前我们一起深入探讨了自然语言处理领域中非常重要的两个方法：朴素贝叶斯和逻辑斯谛回归。在探索的过程中，我们剖析了朴素贝叶斯如何基于概率原理和特征条件独立假设，…...

编程日记 2025/3/10 21:07:57

刷题记录 HOT100 贪心-2：45. 跳跃游戏 II

题目：45. 跳跃游戏 II 难度：中等给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。每个元素 nums[i] 表示从索引 i 向后跳转的最大长度。换句话说，如果你在 nums[i] 处，你可以跳转到任意 nums[i j] 处: 0 &l…...

编程日记 2025/3/10 21:06:52

7.2 奇异值分解的基与矩阵

一、奇异值分解奇异值分解（SVD）是线性代数的高光时刻。 A A A 是一个 m n m\times n mn 的矩阵，可以是方阵或者长方形矩阵，秩为 r r r。我们要对角化 A A A，但并不是把它化成 X − 1 A X X^{-1}A X X−1AX 的形…...

编程日记 2025/3/10 21:05:49

PDFMathTranslate安装使用

PDF全文翻译！！！！ PDFMathTranslate安装使用它是个啥 PDFMathTranslate 可能是一个用于 PDF 文件的数学公式翻译工具。它可能包含以下功能： 提取 PDF 内的数学公式将数学公式转换成 LaTeX 代码翻译数学公式的内…...

编程日记 2025/3/10 20:58:40

STL之list的使用（超详解）

目录一、list的介绍及使用 1.1 list的介绍 1.2 list的使用 1.2.1 list的构造 1.2.2 iterator的使用 1.2.3capacity（容量相关） 1.2.4 element access（元素访问） 1.2.5 modifiers（链表修改）…...

编程日记 2025/3/10 20:53:34

动态 SQL 的使用

目录 1、< if> 标签2、< trim> 标签3、< where> 标签4、< set> 标签5、< foreach> 标签 1、< if> 标签 < if test“条件语句”> xxxx < /if> 只有当条件语句满足条件，才会拼接 < if> 标签内容，因…...

编程日记 2025/3/10 20:51:32

【如何删除在 Linux 系统中的删除乱码文件】

如何删除在 Linux 系统中的删除乱码文件 1. 列出文件并找到乱码文件：2. 使用通配符（谨慎使用）：3. 转义特殊字符：4. 使用 find 命令：5. 使用 inode 号删除文件：6. 图形界面文件管理器&#xff1a…...

编程日记 2025/3/10 20:49:29

防火墙IPSec （无固定IP地址---一对多）

目录前言一、场景： 二、实现 1.拓扑图 2.配置思路 ①基础通信配置 ②PPPoE配置 ③总部的模版IPSec配置 ④分部的IPSec配置 ⑤NAT配置 3.具体配置 ①基础配置 ②详细配置和顺序效果测试： ③PPPOE ①配置PPPoE ②策略放行 ③IPSec与NA…...

编程日记 2025/3/10 20:47:27

基于SpringBoot的智能问诊系统设计与隐私保护策略

通过SpringBoot框架，我们可以快速搭建一个智能问诊系统，为用户提供便捷的线上医疗服务。然而，在系统设计和实现过程中，如何保障用户的隐私和数据安全，始终是一个亟需关注的问题。本文将探讨基于SpringBoot的智能问诊系…...

编程日记 2025/3/10 20:46:25

DeepSeek进阶应用（一）：结合Mermaid绘图（流程图、时序图、类图、状态图、甘特图、饼图）

🌟前言: 在软件开发、项目管理和系统设计等领域，图表是表达复杂信息的有效工具。随着AI助手如DeepSeek的普及，我们现在可以更轻松地创建各种专业图表。名人说：博观而约取，厚积而薄发。——苏轼《稼说送张琥》创作者&…...

编程日记 2025/3/10 20:39:16

Ubuntu 下 nginx-1.24.0 源码分析 - ngx_init_cycle 函数

nei声明在 src/core/ngx_cycle.h ngx_cycle_t *ngx_init_cycle(ngx_cycle_t *old_cycle);实现在 src/core/ngx_cycle.c ngx_cycle_t * ngx_init_cycle(ngx_cycle_t *old_cycle) {void *rv;char **senv;ngx_uint_t i, n;ngx_log_t …...

编程日记 2025/3/10 20:38:15

【redis】数据类型之geo

Redis的GEO数据类型用于存储地理位置信息（如经纬度），并提供高效的地理位置查询功能（如计算两地距离、搜索附近地点等）。其底层基于Sorted Set（有序集合）实现，通过Geohash编码将经纬度…...

编程日记 2025/3/10 20:37:14

微信小程序3D开发框架技术对比：XR-Frame与threejs-miniprogram

随着微信小程序逐步支持3D渲染与AR能力，开发者面临两个主要官方方案：自研的XR-Frame和适配Three.js的threejs-miniprogram。本文将从架构设计、渲染机制、功能集成、开发模式及适用场景等维度进行技术分析，为技术选型提供参考。一、XR-Frame&…...

编程新知 2026/5/26 1:49:12

基于Arduino与nRF24L01+的无线传感器平台设计与部署指南

1. 项目概述与设计思路如果你和我一样，喜欢在阳台或者小院子里种点蔬菜瓜果，那你肯定也遇到过这样的烦恼：出门几天，心里总惦记着家里的番茄苗是不是缺水了，小温室里的温度会不会太高。传统的温湿度计只能让你在现场读数…...

编程新知 2026/5/25 22:52:44

Windows开机自动全屏打开指定网页？一个快捷方式参数就搞定（Chrome/Edge/Firefox教程）

Windows开机自动全屏展示网页的终极方案每次开机都要手动打开浏览器、输入网址、切换全屏模式？这种重复操作不仅浪费时间，还容易在重要演示时手忙脚乱。想象一下：电脑启动后自动全屏显示你的仪表盘、会议日程或是监控大屏，整个过程…...

编程新知 2026/5/25 20:14:00

基于STM32与LoRa的低功耗物联网气象站DIY全攻略

1. 项目概述：打造一个低功耗的家庭气象站前阵子想给家里的智能家居系统加点“环境感知”能力，琢磨着搞个能实时监测室外温湿度、风速风向的小玩意儿。市面上成品气象站要么数据出不来，要么功耗感人，不适合长期户外部署。于是&…...

编程新知 2026/5/25 19:55:17

AI算法工程师如何进行模型部署？这2个工具+3个技巧，快速上线

对于软件测试从业者来说，模型部署并不是一个陌生的概念——随着AI功能逐渐渗透到各类应用软件中，测试工程师不仅需要验证模型输出的准确性，更需要理解部署流程对模型稳定性、响应速度和结果一致性的影响。很多测试同学会有这样的困惑&#xf…...

编程新知 2026/5/25 17:53:03

抖音批量下载助手：一键构建你的专属视频素材库

抖音批量下载助手：一键构建你的专属视频素材库【免费下载链接】douyinhelper 抖音批量下载助手项目地址: https://gitcode.com/gh_mirrors/do/douyinhelper 还在为手动保存抖音视频而烦恼吗？想要批量获取心仪创作者的精彩内容却无从下手&#x…...

编程新知 2026/5/27 6:24:30

别只盯着主控芯片！拆解STM32最小系统板：电源、时钟、复位三大支柱电路深度解析

STM32最小系统板设计进阶：电源、时钟与复位电路的工程实践在嵌入式系统开发中，我们常常将注意力集中在主控芯片的功能实现上，却忽略了支撑系统稳定运行的三大基础电路——电源、时钟和复位。这些看似简单的电路模块，实则是整个系…...

编程新知 2026/5/25 16:00:19

终极Obsidian笔记模板指南：如何用kepano-obsidian构建你的第二大脑

终极Obsidian笔记模板指南：如何用kepano-obsidian构建你的第二大脑【免费下载链接】kepano-obsidian My personal Obsidian vault template. A bottom-up approach to note-taking and organizing things I am interested in. 项目地址: https://gitcode.com/gh_…...

编程新知 2026/5/25 15:50:13