7、Web安全测试概述
黑客技术的发展历程
黑客基本涵义是指一个拥有熟练电脑技术的人,但大部分的媒体习惯将“黑客”指作电脑侵入者。
黑客技术的发展
- 在早期,黑客攻击的目标以系统软件居多。早期互联网Web并非主流应用,而且防火墙技术还没有兴起。
- 防火墙,ACL技术的兴起,使得直接暴露在互联网上的系统的得到了保护,并且Web应用成了互联网的主流,黑客的目光逐渐转移到了Web这块大蛋糕上。
Web服务器是怎样被入侵的
Web服务器是怎样被入侵的
- 过去直接针对目标进行攻击,比如端口扫描、密码爆破、缓冲区溢出攻击等方式直接获取目标权限
- 现在的Web应用非常强大,包括数据库、编程语言、Web容器等
怎样做渗透测试
渗透测试
- 通过实际的攻击进行安全测试与评估的方法就是渗透测试(Penetration Testing,Pentest)
渗透测试流程
信息收集
- Web页面爬取
- 网站结构进行爆破扫描
- 目标服务器端口扫描
探测漏洞
- SQL注入漏洞
- XSS跨站脚本攻击
- 文件上传漏洞
