当前位置：首页 > news >正文

网络安全之端口扫描（一）

news 2026/4/1 7:04:20

前置介绍

什么是DVWA？

DVWA（Damn Vulnerable Web Application）是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序，供安全专业人员、渗透测试人员、学生和开发人员用来练习和提升他们的技能。

DVWA的主要特点：

多种漏洞类型：DVWA包含多种常见的Web应用程序漏洞，如SQL注入、XSS（跨站脚本攻击）、CSRF（跨站请求伪造）、文件包含漏洞、命令注入等。这使用户可以在一个环境中练习和理解不同类型的漏洞。
不同的安全级别：DVWA提供不同的安全级别（低、中、高和不可能），以帮助用户逐步提高他们的技能和理解。这些级别通过改变应用程序代码和配置的复杂性来增加挑战。
教育目的：DVWA的设计初衷是用于教育目的，帮助用户理解和识别Web应用程序中的常见漏洞，以及如何利用这些漏洞。
社区支持和扩展：DVWA有一个活跃的社区，用户可以共享他们的经验、工具和技巧。它还可以与其他安全工具集成，以创建更全面的学习和测试环境。

使用DVWA的注意事项：

安全环境：由于DVWA是故意不安全的应用程序，它应仅在安全和隔离的环境中使用，例如本地虚拟机或专用实验室环境，以防止对生产系统或不安全网络造成影响。
学习和测试目的：DVWA应仅用于合法的学习和测试目的。未经授权的测试或在他人系统上使用可能违反法律法规。

集群环境

k8s-master	192.168.58.231
k8s-node1	192.168.58.232
k8s-node2	192.168.58.233

部署测试用服务（端口扫描目标）

[root@k8s-master ~]# kubectl create namespace security-test
namespace/security-test created
[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: apps/v1
> kind: Deployment
> metadata:
>   name: nginx
>   namespace: security-test
> spec:
>   replicas: 1
>   selector:
>     matchLabels:
>       app: nginx
>   template:
>     metadata:
>       labels:
>         app: nginx
>     spec:
>       containers:
>       - name: nginx
>         image: nginx:latest
>         ports:
>         - containerPort: 80
> EOFdeployment.apps/nginx created

暴露Service（NodePort类型，便于外部访问）

[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Service
> metadata:
>   name: nginx
>   namespace: security-test
> spec:
>   type: NodePort
>   selector:
>     app: nginx
>   ports:
>     - port: 80
>       targetPort: 80
>       nodePort: 30080
> EOF
service/nginx created[root@k8s-master ~]# kubectl get pod -n security-test
NAME                    READY   STATUS    RESTARTS   AGE
nginx-585449566-n4nxf   1/1     Running   0          57s

部署带漏洞的Web应用（SQL注入测试目标）

#手动先拉取镜像
[root@k8s-master ~]# docker pull vulnerables/web-dvwa:latest
latest: Pulling from vulnerables/web-dvwa
3e17c6eae66c: Pull complete 
0c57df616dbf: Pull complete 
eb05d18be401: Pull complete 
e9968e5981d2: Pull complete 
2cd72dba8257: Pull complete 
6cff5f35147f: Pull complete 
098cffd43466: Pull complete 
b3d64a33242d: Pull complete 
Digest: sha256:dae203fe11646a86937bf04db0079adef295f426da68a92b40e3b181f337daa7
Status: Downloaded newer image for vulnerables/web-dvwa:latest
docker.io/vulnerables/web-dvwa:latest[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: apps/v1
> kind: Deployment
> metadata:
>   name: dvwa
>   namespace: security-test
> spec:
>   replicas: 1
>   selector:
>     matchLabels:
>       app: dvwa
>   template:
>     metadata:
>       labels:
>         app: dvwa
>     spec:
>       containers:
>       - name: dvwa
>         image: vulnerables/web-dvwa:latest
>         ports:
>         - containerPort: 80
> EOF
deployment.apps/dvwa unchanged
[root@k8s-master ~]# kubectl get pod -n security-test -w
NAME                    READY   STATUS    RESTARTS   AGE
dvwa-5666759b95-bp8zt   1/1     Running   0          72s
nginx-585449566-n4nxf   1/1     Running   0          8m41s

暴露Service（NodePort类型）

[root@k8s-master ~]# cat <<EOF | kubectl apply -f -
> apiVersion: v1
> kind: Service
> metadata:
>   name: dvwa
>   namespace: security-test
> spec:
>   type: NodePort
>   selector:
>     app: dvwa
>   ports:
>     - port: 80
>       targetPort: 80
>       nodePort: 30081
> EOF
service/dvwa created

开发Python安全测试脚本

端口扫描

已成功检测到Kubernetes节点192.168.58.232的开放端口（30080和30081）

[root@k8s-master ~]# python3 port_scanner.py --target 192.168.58.232 --start-port 30000 --end-port 30100 --output k8s_ports.txt
[+] 30080/TCP Open
[+] 30081/TCP OpenScan completed in 0:00:00.229895
Open ports saved to k8s_ports.txt
[root@k8s-master ~]# ll
total 436
-rw-------. 1 root root   1244 Dec 25 07:02 anaconda-ks.cfg
-rw-r--r--. 1 root root 238376 Dec 25 08:22 calico.yaml
-rw-r--r--. 1 root root 189916 Dec 25 08:04 calico.yaml.0
-rw-r--r--. 1 root root     12 Mar  9 05:04 k8s_ports.txt
-rw-r--r--. 1 root root   1660 Mar  9 05:03 port_scanner.py
[root@k8s-master ~]# cat k8s_ports.txt 
30080
30081

SQL注入

[root@k8s-master ~]# python3 sql_detector.py --url http://192.168.58.232:30081/login.php --method POST --param username[*] Testing URL: http://192.168.58.232:30081/login.php
[+] Payload成功: ' OR '1'='1
[!] SQL Injection vulnerability detected!

网络安全之端口扫描（一）

前置介绍什么是DVWA？ DVWA（Damn Vulnerable Web Application）是一个专门设计用于测试和提高Web应用程序安全技能的开源PHP/MySQL Web应用程序。它是一个具有多个安全漏洞的故意不安全的应用程序，供安全专业人员、渗透测试人员、…...

编程日记 2025/3/10 21:30:35

HCIE云计算学什么？怎么学？未来职业发展如何？

随着云计算成为IT行业发展的主流方向，HCIE云计算（华为认证云计算专家）作为华为认证体系中的高端认证之一，逐渐成为了许多网络工程师和IT从业者提升职业竞争力的重要途径。那么，HCIE云计算究竟学什么内容，如…...

编程日记 2025/3/10 21:27:31

upload-labs文件上传

第一关上传一个1.jpg的文件，在里面写好一句webshell 保留一个数据包，将其中截获的1.jpg改为1.php后重新发送可以看到，已经成功上传第二关写一个webshell如图，为2.php 第二关在过滤tpye的属性，在上传2.php后使用b…...

编程日记 2025/3/10 21:22:25

操作系统控制台-健康守护我们的系统

引言基本准备体验功能健康守护系统诊断收获提升结语引言阿里云操作系统控制平台作为新一代云端服务器中枢平台，通过创新交互模式重构主机管理体验。操作系统控制台提供了一系列管理功能，包括运维监控、智能助手、扩展插件管理以及订阅服务等。用户可以…...

编程日记 2025/3/10 21:21:24

财务会计域——合并报表系统设计

摘要本文主要介绍了合并报表系统的设计，包括其背景、业务流程和系统架构设计。合并报表系统可自动化生成数据，减少人为错误，确保报表合规。其业务流程涵盖数据收集、标准化、合并调整、报表生成、审核及披露等环节。系统架构设计包括数据接…...

编程日记 2025/3/10 21:14:16

教务考试管理系统-Sprintboot vue

一、前言 1.1 实践目的和要求本次实践的目的是为了帮助学生强化对实践涉及专业技术知识的理解，掌握专业领域中软件知识的应用方法，并了解软件工程在具体行业领域的发展趋势。通过培养学生利用软件工程方法分析、设计并完成具体行业软件开发的能力&…...

编程日记 2025/3/10 21:11:11

vue实现一个pdf在线预览，pdf选择文本并提取复制文字触发弹窗效果

[TOC] 一、文件预览 1、安装依赖包这里安装了disjs-dist2.16版本，安装过程中报错缺少worker-loader npm i pdfjs-dist2.16.105 worker-loader3.0.8 2、模板部分 <template><div id"pdf-view"><canvas v-for"page in pdfPages&qu…...

编程日记 2025/3/10 21:10:02

【CSS 】Class Variance Authority CSS 类名管理工具库

1.背景、什么是 CVA？ Class Variance Authority (CVA) 是一个用于管理 CSS 类名的工具库，特别适合在 React 或 Vue 等前端框架中使用。它可以帮助你更轻松地处理组件的样式变体（Variants），比如按钮的不同状态&#…...

编程日记 2025/3/10 21:08:59

自然语言处理：文本分类

介绍大家好，我这个热衷于分享知识的博主又来啦！之前我们一起深入探讨了自然语言处理领域中非常重要的两个方法：朴素贝叶斯和逻辑斯谛回归。在探索的过程中，我们剖析了朴素贝叶斯如何基于概率原理和特征条件独立假设，…...

编程日记 2025/3/10 21:07:57

刷题记录 HOT100 贪心-2：45. 跳跃游戏 II

题目：45. 跳跃游戏 II 难度：中等给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。每个元素 nums[i] 表示从索引 i 向后跳转的最大长度。换句话说，如果你在 nums[i] 处，你可以跳转到任意 nums[i j] 处: 0 &l…...

编程日记 2025/3/10 21:06:52

7.2 奇异值分解的基与矩阵

一、奇异值分解奇异值分解（SVD）是线性代数的高光时刻。 A A A 是一个 m n m\times n mn 的矩阵，可以是方阵或者长方形矩阵，秩为 r r r。我们要对角化 A A A，但并不是把它化成 X − 1 A X X^{-1}A X X−1AX 的形…...

编程日记 2025/3/10 21:05:49

PDFMathTranslate安装使用

PDF全文翻译！！！！ PDFMathTranslate安装使用它是个啥 PDFMathTranslate 可能是一个用于 PDF 文件的数学公式翻译工具。它可能包含以下功能： 提取 PDF 内的数学公式将数学公式转换成 LaTeX 代码翻译数学公式的内…...

编程日记 2025/3/10 20:58:40

STL之list的使用（超详解）

目录一、list的介绍及使用 1.1 list的介绍 1.2 list的使用 1.2.1 list的构造 1.2.2 iterator的使用 1.2.3capacity（容量相关） 1.2.4 element access（元素访问） 1.2.5 modifiers（链表修改）…...

编程日记 2025/3/10 20:53:34

动态 SQL 的使用

目录 1、< if> 标签2、< trim> 标签3、< where> 标签4、< set> 标签5、< foreach> 标签 1、< if> 标签 < if test“条件语句”> xxxx < /if> 只有当条件语句满足条件，才会拼接 < if> 标签内容，因…...

编程日记 2025/3/10 20:51:32

【如何删除在 Linux 系统中的删除乱码文件】

如何删除在 Linux 系统中的删除乱码文件 1. 列出文件并找到乱码文件：2. 使用通配符（谨慎使用）：3. 转义特殊字符：4. 使用 find 命令：5. 使用 inode 号删除文件：6. 图形界面文件管理器&#xff1a…...

编程日记 2025/3/10 20:49:29

防火墙IPSec （无固定IP地址---一对多）

目录前言一、场景： 二、实现 1.拓扑图 2.配置思路 ①基础通信配置 ②PPPoE配置 ③总部的模版IPSec配置 ④分部的IPSec配置 ⑤NAT配置 3.具体配置 ①基础配置 ②详细配置和顺序效果测试： ③PPPOE ①配置PPPoE ②策略放行 ③IPSec与NA…...

编程日记 2025/3/10 20:47:27

基于SpringBoot的智能问诊系统设计与隐私保护策略

通过SpringBoot框架，我们可以快速搭建一个智能问诊系统，为用户提供便捷的线上医疗服务。然而，在系统设计和实现过程中，如何保障用户的隐私和数据安全，始终是一个亟需关注的问题。本文将探讨基于SpringBoot的智能问诊系…...

编程日记 2025/3/10 20:46:25

DeepSeek进阶应用（一）：结合Mermaid绘图（流程图、时序图、类图、状态图、甘特图、饼图）

🌟前言: 在软件开发、项目管理和系统设计等领域，图表是表达复杂信息的有效工具。随着AI助手如DeepSeek的普及，我们现在可以更轻松地创建各种专业图表。名人说：博观而约取，厚积而薄发。——苏轼《稼说送张琥》创作者&…...

编程日记 2025/3/10 20:39:16

Ubuntu 下 nginx-1.24.0 源码分析 - ngx_init_cycle 函数

nei声明在 src/core/ngx_cycle.h ngx_cycle_t *ngx_init_cycle(ngx_cycle_t *old_cycle);实现在 src/core/ngx_cycle.c ngx_cycle_t * ngx_init_cycle(ngx_cycle_t *old_cycle) {void *rv;char **senv;ngx_uint_t i, n;ngx_log_t …...

编程日记 2025/3/10 20:38:15

【redis】数据类型之geo

Redis的GEO数据类型用于存储地理位置信息（如经纬度），并提供高效的地理位置查询功能（如计算两地距离、搜索附近地点等）。其底层基于Sorted Set（有序集合）实现，通过Geohash编码将经纬度…...

编程日记 2025/3/10 20:37:14

【数据结构】数组与特殊矩阵

数据结构的学习中，数组与特殊矩阵是基础且核心的内容。它们不仅是程序设计中最常用的线性结构，更是处理复杂矩阵运算的基础。本文将结合解析与真题，带你彻底搞懂数组的存储方式和特殊矩阵的压缩存储技巧。一、一维数组与二维数组：…...

编程新知 2026/4/1 5:59:20

Cocos Creator实战：5步搞定棋牌游戏大厅场景开发（附完整代码）

Cocos Creator实战：5步构建高交互棋牌游戏大厅（附模块化代码） 棋牌游戏大厅作为玩家进入游戏的第一印象，其体验直接决定了用户留存率。根据行业数据，精心设计的大厅界面能提升30%以上的玩家次日留存。不同于传统游戏开…...

编程新知 2026/4/1 5:59:20

解决Gradio share=True报错：手动下载并配置frpc_linux_amd64_v0.3文件的保姆级教程

解决Gradio shareTrue报错的完整实战指南：从手动配置frpc到深度优化当你兴奋地准备向客户展示刚完成的Gradio应用时，却在终端看到红色的报错信息——shareTrue参数失效了。这种场景对开发者来说再熟悉不过：本地调试一切正常，但需…...

编程新知 2026/4/1 5:53:10

灵毓秀-牧神-造相Z-Turbo进阶玩法：结合提示词生成不同风格的灵毓秀

灵毓秀-牧神-造相Z-Turbo进阶玩法：结合提示词生成不同风格的灵毓秀 1. 认识灵毓秀-牧神-造相Z-Turbo 1.1 模型特点概述灵毓秀-牧神-造相Z-Turbo是一款基于Xinference部署的专用文生图模型，专注于生成《牧神记》中灵毓秀这一角色的高质量图像。相比通…...

编程新知 2026/4/1 5:35:01

黑客为什么不攻击微信钱包？

黑客为什么不攻击微信钱包？ 现在人人手机里都装着微信和支付宝，里面都或多或少存了些钱。怎么从来没听说谁的钱被技术牛逼黑客惦记走？ 是黑客没攻击过？还是黑客不敢攻击？其实都不是。阿里巴巴首席风险官郑俊芳就说过&…...

编程新知 2026/4/1 4:42:14

期权到期日别慌！手把手教你搞定上交所股票期权的行权与交割（附避坑清单）

期权到期日实战指南：从行权准备到交割避坑全流程解析手机屏幕上的红色倒计时提醒着期权合约即将到期，作为刚接触期权交易不久的新手，此刻最需要的不再是复杂的概念解释，而是一份能握在手中的应急操作清单。本文将用最直白的语言拆…...

编程新知 2026/4/1 3:08:48

突破方舟生存进化技术壁垒的智能管理工具

突破方舟生存进化技术壁垒的智能管理工具【免费下载链接】TEKLauncher Launcher for ARK: Survival Evolved 项目地址: https://gitcode.com/gh_mirrors/te/TEKLauncher 你是否曾因MOD安装顺序错误导致游戏频繁崩溃？是否在搭建私人服务器时被端口配置弄得晕…...

编程新知 2026/4/1 1:02:26