您好、欢迎来到现金彩票网!
当前位置:热购彩票app下载 > 公钥密码 >

如何进行web渗透测试

发布时间:2019-07-04 18:25 来源:未知 编辑:admin

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  知道合伙人软件行家采纳数:16460获赞数:11451本人主要从事C#方向的技术开发工作,具有10多年的各类架构开发工作经验。向TA提问展开全部渗透测试的两大阶段

  渗透测试不能测试出所有可能的安全问题,它只是一个特定环境下才合适的WEB应用安全测试技术。OWASP的渗透测试方法是基于墨盒方法的,测试人员在测试前不知道或只知道很有限的关于被测试应用的信息。

  在这个阶段,测试人员试图去理解被测应用的逻辑,并且去使用它。可以使用工具去收集信息,例如,可以用HTTP代理工具去观察所有请求与响应。本阶段结束后,测试人员应该理解了应用的所有访问点(如,HTTP报头、参数和COOKIE)。信息收集一节将介绍如何进行被动模式的测试。

  青莲网络是阿里云五星级授权服务中心,钻石级合作伙伴,拥有多年的云服务经验、专业的技术团队及良好的信誉和口碑,系统化的帮助全国近万家客户成功实施上云项目。

  Web应用的渗透测试流程主要分为3个阶段:信息收集、漏洞发现、漏洞利用。

  在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等

  在这个阶段我们在做测试的时候要对症下药,不能盲目的去扫描,首先要确定目标应用是否使用的是公开的开源软件,开源框架等、然后在做深一度的漏洞扫描。

  针对不同的弱点有不同的漏洞利用方式,需要的知识点也比较多。一般这个阶段包括两种方式,一种是手工测试,一种是工具测试。

  手工测试是通过客户端或服务器访问目标服务,手工向目标程序发送特殊的数据,包括有效的和无效的输入,观察目标的状态、对各种输入的反应,根据结果来发现问题的漏洞检测技术。

  网络上有很多好用的免费利用工具,比如针对sql注入的sqlmap、针对软件漏洞的matesploit等。

http://e-ndicus.com/gongyuemima/661.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有