- 综合排序
- 最热优先
- 最新优先
- 来自专栏c#开发者
如何做好需求收集
项目前期需求收集过程的效果好坏,会对软件产品的最终质量产生直接的影响。如何收集好需求,本文作者给出了一条行之有效的实际操作途径。 什么是需求收集? 用户往往不清楚自己的真实需求是什么,或者不知道如何准确地描述出自己的需求—“我心里很清楚,但就是说不出来”; v 没有从所有可能的渠道去收集需求,需求信息来源不完整; v 收集的需求没有规范记录下来, 怎么做好需求收集活动? 首先,需要建立需求收集机制。其次,使用统一的需求收集系统。最后,在需求收集时,采取一定的技术和方法。 建立需求收集机制 (1). 使用统一的需求收集系统 很多项目组都采取表格的方式记录收集到的需求信息,而不是通过电子流程的方式提交,这样会到来一些问题,如:收集到的需求信息被延迟处理,项目信息无法跟踪,回溯,等等。 为了做好这项工作我们需要建立日常的需求收集工作机制,并采用统一的需求收集系统作为信息入口;同时,由于需求收集是统一的讲求技术和方法的活动,选择和的技术和方法有助于获取完整且有效的需求
1.4K60发布于 2018-04-12 - 来自专栏NewBeeNLP
我是如何收集信息的
来源 | 知乎@Towser 整理 | NewBeeNLP ,已授权 在当下,很多时候问题不在于找不到信息,而在于如何从垃圾信息的海洋中找到优质信息的孤岛。 在没有时间和精力去筛选内容的情况下,优先关注优质的平台、博主生产的信息。 我个人常用的信息获取渠道主要有: A. 想要获取最新信息 在 twitter 上关注各位大佬,每天早上刷 twitter 即可 用 RSS 阅读器订阅 DeepMind/OpenAI/Google AI blog 如果做到以上两点,各种中文机器学习 如果是我熟悉的领域,就去找基准数据集的 leaderboard(例如 SQuAD/GLUE/WMT 等等),看看最新的效果如何,再去看对应的论文。
1.1K20发布于 2020-08-26 - 来自专栏折腾小记
信息收集
0x00 收集域名信息 1. Whois查询 Whois是一个标准的互联网协议,可以收集网络注册信息,如域名、IP地址、服务商、域名拥有者、邮箱、电话、地址等。 备案信息查询 – ICP备案查询网:beianbeian.com – 天眼查:tianyancha.com 0x01 收集敏感信息 各种搜索引擎的黑客语法可以用来获取数据库文件、SQL注入、 配置信息、源代码泄漏、未授权访问和robots.txt等敏感信息。 cache 搜索Google里关于某些内容的缓存 0x02 收集子域名信息 1. crt.sh: crt.sh – censys: censys.io – 子域名爆破网站(phpinfo.me/domain) – IP反查域名绑定网站(aizhan.com) 0x03 收集常用端口信息
1.9K30编辑于 2022-09-13 - 来自专栏简言之
信息收集
渗透测试的本质是信息搜集。 公司信息 公司位置、公司业务、公司核心人员、公司网站 工具:天眼查、企查查 网站信息 工具:站长之家、微步、爱站 企业备案信息 工具:国家企业信用信息公示系统、ICP备案查询 网站子域名 工具:Layer apache、iis、tomcat、jboss 数据库:mysql、oracle、sqlserver、access) 操作系统:linux、windows 工具:浏览器插件–Wappalyzer OS版本、端口信息 -sP发现扫描网络存活主机 绕过CDN寻找真实IP 1、扫描子域名寻找真实IP 2、国外网站多地ping asm.ca.com 3、查询历史域名解析记录 Netcraft、微步 4、phpinfo信息泄露寻找真实
1.4K20编辑于 2022-12-29 - 来自专栏博客原创文章
信息收集
信息收集 信息收集无论是在渗透,AWD还是挖src中,都是重中之重的,就像《孙子兵法》中说到的"知彼知己,胜乃不殆;知天知地,胜乃可全",也就是"知己知彼,百战不殆" 开始收集 此文和后面的信息泄露有些许联系 这个世界上没有任何一台系统是安全的,cms也如此 比如说织梦5.x版本中就有文件上传,SQL注入等漏洞,所以如果先利用漏洞,就要获取cms是什么类型,是什么版本,运行在什么服务上 此处应该有疑问:那么如何 如何确定版本呢? 获取cms类型 后台 后台中,有些cms会泄露一些版本和信息,比如说织梦cms,可以通过谷歌语法intext:dedecms查找网页中包含dedecms字符的页面,如下 一目了然,cms和版本都出来了 以上地方法均可以收集cms,版本,中间件 唯有做到知己知彼,方能百战不殆 将收集到地cms版本到百度搜素相关地漏洞,又可以利用一波,在线上AWD中,如果题目是 cms做成地,那么就可以通过搜寻cms信息查找漏洞
2K10编辑于 2021-12-20 - 来自专栏小满的技术录
信息收集
信息收集 做渗透测试的前辈们都说,做测试做重要的就是信息收集,只要收集的全面,后面的测试部分就会变得简单许多,我当初也对信息收集不以为然,但是越来越觉得他们所说的确实没错。 whois 信息 站长之家 http://whois.chinaz.com/: 微步 [https://x.threatbook.cn/]: who.is [https://who.is 扫描远程主机以探测该主机是否使用了包过滤器或防火墙 云悉 [https://www.yunsee.cn/]: wappalyzer (插件) 这个插件在火狐和谷歌浏览器上都可以搜到 DNS信息 /]: 旁站查询(旁站是和目标网站在同一台服务器上的其它的网站) 站长之家 C端查询(C端是和目标服务器ip处在同一个C段的其它服务器) https://www.webscan.cc/ cms指纹信息 intitle: 这个就是把网页中的正文内容中的某个字符做为搜索条件 filetype: 搜索指定类型的文件.例如输入:filetype:doc.将返回所有以doc结尾的文件URL 我大概列举了一些信息收集的方法
1.2K10编辑于 2022-09-26 - 来自专栏网络信息安全
信息收集
[Web安全]信息收集 信息收集 域名信息的收集 网站指纹识别 整个网站的分析 主机扫描、端口扫描 网站敏感目录和文件 旁站和C段扫描 网站漏洞扫描 信息收集 域名信息的收集 一、真实IP:核心点在CDN 7、黑暗引擎搜索 shodan zoomeye fofa 二、whois信息: 站长之家 三、子域名: eg : www.baidu.com的子域名:www.news.baidu.com 然后我们可以使用nmap扫描OS信息 nmap -O xx.xx.xx.xx Nmap使用文章 2、数据库类型 Mysql、Access、SQL Sever、Oracle、MongoDB 不同数据库的存储格式是不同的 每个人都有自己喜欢的工具,具体选择要根据自身以及实际情况 常见漏洞端口 网站敏感目录和文件 扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏 后台目录:弱口令,万能密码,爆破 安装包:获取数据库信息 ,甚至是网站源码 上传目录:截断、上传图片马等 mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell 安装页面 :可以二次安装进而绕过 phpinfo:会把你配置的各种信息暴露出来
1.1K10编辑于 2024-03-12 - 来自专栏Timeline Sec
信息收集 | Whois信息收集及利用方式
简单介绍 whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。 简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whois来实现对域名信息的查询。 收集方式 可尝试利用以下多个网站进行查询(本文只列举三个),因为有的网站信息可以查询到,有的网站信息不能。 1 站长之家 地址:http://whois.chinaz.com ? 利用注册人电话,邮箱等信息通过自由拼接组合成针对网站的社工字典。最后利用字典进行爆破或社工钓鱼,也可用过邮箱和手机号反查找到更多注册域名。 DNS解析记录可以查ip,查NS、mx邮件交换记录。
5.6K30发布于 2020-01-15 - 来自专栏Bypass
如何进行内网信息收集
渗透测试的本质是信息收集,我们可以将内网信息收集大致分为5个步骤,即本机信息收集、域内信息收集、登录凭证窃取、存活主机探测、内网端口扫描。 最常见的两个问题就是: 我是谁?-- whoami 我在哪? 本机信息收集 1.查询账户信息: 对当前主机的用户角色和用户权限做了解,判断是否需要进一步提升权限。 wmic qfe get Caption,description,HotfixID,installedOn //查询补丁信息,包含说明链接/补丁描述/KB编号/更新时间等信息 wmic qfe list full 查询全部信息 Linux: 通过查看内核版本 uname -a 或者使用rpm -qa来查询安装了哪些软件包 5.凭证收集 服务器端存有敏感信息,通过收集各种登录凭证以便扩大战果 /全盘搜索敏感信息 域内信息收集 搜集完本机相关信息后,就需要判断当前主机是否在域内,如果在域内,就需要进一步收集域内信息 1.判断是否有域 一般域服务器都会同时作为时间服务器,所以使用下面命令判断主域
1.7K41发布于 2020-11-04 - 来自专栏centosDai
网页上收集的信息如何发送?
网页上收集用户信息完成后,都需要发送到服务器上存储起来,存储是后台的事,但是我们需要负责发送,是如何发送消息呢? form标签的属性及意义: action属性 定义表单提交时的地址,需要后台提供。 安全性:get传输数据暴露在url中,post不会显示,有效保护用户信息,安全性高一些。 target属性 规定提交表单后何处显示收到的响应。
1.3K50发布于 2021-11-25 - 来自专栏前端儿
如何收集常见的前端性能信息
经过简单的计算,可以获取到这样的信息 与DevTools 的Network来比较,数据是差不多的,应该能作为参考 ? 简单上报一下 ? 那么,这些个指标是怎末计算的呢,且看代码部分,看看注释应该就知道了 如何计算这些时间点,因人而异,各人有不同的版本,只要觉得合理,其实都是可以的 1 <script> 2 ;(function window.attachEvent('on' + type, fn); 8 } 9 } 10 11 // load 事件触发猴再收集相关数据 performance.timing); 111 } 112 })(window); 113 </script> 参考资料: 以用户为中心的性能指标 2018你应该知道的前端性能信息采集指南
95842发布于 2018-12-26 - 来自专栏让技术和时代并行
docker,做好你的垃圾收集!
对于不再使用的对象如镜像、容器、volumes以及网络 Docker采取的是被动清理(类比垃圾回收)机制:除非使用docker提供的命令手动进行清理,否则它们一般是不会被清除掉。这些没有使用的对象当然会占用额外宝贵的空间资源(特别在开发环境中,资源有限,如果线上环境就可以通过k8s监控管理了)。严重时可能会影响服务运行,我们可以通过上述命令进行无效数据占用的清理。也可以通过安装docker-gc进行数据自动清理。
81430发布于 2019-11-26 - 来自专栏centosDai
网页上收集的信息如何发送?
网页上收集用户信息完成后,都需要发送到服务器上存储起来,存储是后台的事,但是我们需要负责发送,是如何发送消息呢? form标签的属性及意义: action属性 定义表单提交时的地址,需要后台提供。 安全性:get传输数据暴露在url中,post不会显示,有效保护用户信息,安全性高一些。 target属性 规定提交表单后何处显示收到的响应。
1.5K20发布于 2021-09-28 - 来自专栏FreeBuf
如何使用Scylla进行OSINT信息收集
Scylla带有一个跟财务相关的模块,可以帮助研究人员检查信用卡/借记卡号码是否在数据泄露事件中被泄露出去,并返回信用卡/银行标识代码上的信息。 你也可以只使用webcam查询,但使用webcamxp会返回更详细的结果: python3 scylla.py -s webcamxp 下列命令将给出指定IP地址的地理定位信息,它将会返回经纬度、城市 、州/省、国家、邮政编码和地区信息: python3 scylla.py -g 1.1.1.1 下列命令将检索输入的信用卡/借记卡号码的IIN信息,并检查信用卡/借记卡号码是否在数据泄露事件中被泄露出去 Scylla将返回该IIN的卡片品牌、卡片方案、卡片类型、货币、国家和银行信息。注意:如果你想查看是否泄露,请输入完整的卡号。 最后,生成的所有这些信息都是公开的,因为这是一个OSINT工具,不能生成任何透露细节的信息。
1.3K20编辑于 2023-04-26 - 来自专栏网络安全攻防
MSF信息收集
文章前言 本篇文章主要介绍MSF框架在内网信息收集中的使用 主机发现 MSF框架提供了以下模块用于主机发现: auxiliary/scanner/discovery/arp_sweep ? 文末小结 本篇文章作为上篇《内网信息收集》的扩展将不再对MSF进行深入,MSF框架更加强大的功能将在后续同系列《内网渗透》中进行详细介绍与补充,后续也将带来内网渗透的其他相关文章,敬请期待!
1.1K10发布于 2021-07-21 - 来自专栏Naraku的专栏
内网信息收集
基本信息 # 网络信息 $ ipconfig /all # 查询网络配置信息 # 系统信息 $ systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" # PowerView PowerView是一款依赖powershell和WMI对内网进行查询的常用渗透测试脚本,集成在powersploit工具包中,是一个收集域信息很好用的脚本。 powershell.exe -exec bypass -c "Import-Module C:\PowerView.ps1; Invoke-UserHunter" 查找域管理进程 一个典型的域权限提升过程,通常围绕着收集明文凭据或通过 在获取了管理员权限的系统中寻找域管理员登录进程,进而收集域管理员的凭据。 Domain Admins" /domain # 获取域管理员列表 $ net group "Domain Controllers" /domain # 查询域控制器列表 Powershell收集信息
1.2K20发布于 2021-07-29 - 来自专栏黑战士安全
信息收集小结
信息收集作为渗透测试的第一步往往至关重要,好的信息收集是打穿内网的基础。曾有大佬言:渗透测试的本质就是信息收集,那么我们从何开始信息收集呢? 一般都是通过域名或IP地址进行展开,本小结主要从域名信息收集、子域名信息收集、端口信息收集、CMS指纹识别、敏感信息收集、CDN绕过这几大块进行归纳。 0x01 整体思路 针对域名信息收集思路 一、根据域名通过whois查询相关注册人信息(姓名、邮箱、电话) 二、根据注册人信息进行whois反查,查找出目标其他域名信息组成信息网 三、根据域名通过搜索引擎和工具查询目标子域名 、中间件信息、框架信息、CMS信息等 存在防护信息收集思路 一、如果目标站点存在CDN,那么需要绕过寻找真实IP 二、如果目标站点WAF,那么需要通过WAF识别并在攻击时尝试绕过 0x02 信息收集 一 如何判断CDN?
1.5K40编辑于 2022-10-15 - 来自专栏全栈程序员必看
信息收集之后_es日志收集
is:'+str(page) page += 1 time.sleep(1) for i in iplist: f.write(i+'\n') 首先request请求,post提交data和auth信息 ,返回json数据包,利用json数据结构找的所需信息,保存并返回一个列表。
89210编辑于 2022-09-20 - 来自专栏森屿暖树
windows 信息收集
基础命令 作用 命令 主机名 hostname 查询所有计算机名称 dsquery computer 查看配置及补丁信息 systeminfo 查看配置及补丁信息 wmic qfe get description ,installedOn /format:csv 查看版本 ver 进程信息 tasklist /svc 进程信息 wmic process get caption,executablepath,commandline osarchitecture 操作系统信息-系统名 wmic os get caption 查看逻辑盘 wmic logicaldisk get caption 查看安装的软件信息 wmic product get name,version 查看服务信息 wmic service list brief 查看服务信息 sc query 网卡信息 ipconfig /all ARP 表 arp -a 路由表 nltest /dclist:域名 域控信息 net group “Domain controllers” 用户信息 作用 命令 查看用户 net user 用户名/domain 查看用户 whoami
75510编辑于 2022-03-23 - 来自专栏HackTheBox渗透学习记录
常规信息收集
0x01. whois 在线whois查询域名注册时留下的信息,如:管理员姓名、邮箱等。 在线whois地址:https://whois.chinaz.com/ 0x02. 子域名收集 1.layer子域名挖掘机 采用暴力枚举,占用资源较高,性能不好的电脑慎用,效果不错。 2.SubDomainBrute 高并发的DNS暴力枚举工具。 github.com/lijiejie/subDomainsBrute 3.sublist3r 使用许多搜索引擎(例如 Google、Yahoo、Bing、Baidu 和 Ask)枚举子域且采集的时候调用各大子域名收集网站的 项目地址:https://github.com/aboul3la/Sublist3r 4.搜索引擎及网络空间测绘 使用谷歌语法来进行子域名收集: site:baidu.com -www (查找去掉www 开头的根域名中带有baidu.com的域名) 使用fofa进行子域名收集: domain=“baidu.com” 0x03.
1.1K20编辑于 2022-03-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号