本文详细介绍了渗透测试的过程,包括信息收集、漏洞探测、利用和权限维持等步骤。通过模拟黑客攻击,揭示了Web安全的重要性,强调了合法授权的重要性,并提到了相关工具和常见漏洞类型。
如果想跟我一起讨论,那快加入我的知识星球吧!
Web基础安全培训:红队培训之Web基础安全
渗透测试
渗透测试就是利用我们所掌握的渗透知识,对网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵!
渗透测试的前提是我们得经过用户的授权,才可以对网站进行渗透。如果我们没有经过客户的授权而对一个网站进行渗透测试的话,这是违法的。去年的6.1日我国颁布了《网络安全法》,对网络犯罪有了法律约束,不懂的移步——> 网络安全法
渗透测试分为 白盒测试 和 黑盒测试
- 白盒测试就是在知道目标网站源码和其他一些信息的情况下对其进行渗透,有点类似于代码分析
- 黑盒测试就是只告诉我们这个网站的url,其他什么都不告诉,然后让你去渗透,模拟黑客对网站的渗透
我们现在就模拟黑客对一个网站进行渗透测试,这属于黑盒测试,我们只知道该网站的URL,其他什么的信息都不知道。
接下来,我就给大家分享下黑盒渗透测试的流程和思路!
当我们确定好了一个目标进行渗透之后,第一步该做的是什么呢?
信息收集
第一步做的就是信息收集,正所谓知己知彼百战百胜,我们根据网站URL可以查出一系列关于该网站的信息。通过URL我们可以查到该网站的IP、该网站操作系统、脚本语言、在该服务器上是否还有其他网站等等一些列的信息。更多的关于信息收集,我在另一篇文章中很详细的介绍了信息收集需要收集哪些信息,以及信息收集过程中需要用到的工具,传送门——> 渗透测试之信息收集
漏洞探测
当我们收集到了足够多的信息之后,我们就要开始对网站进行漏洞探测了。探测网站是否存在一些常见的Web漏洞,比如:
- SQL注入 , 传送门——>SQL注入详解
- XSS跨站脚本 ,传送门——>XSS(跨站脚本)漏洞详解漏洞详解")
- CSRF跨站请求伪造 , 传送门——>CSRF跨站请求伪造攻击
- XXE漏洞,传送门——>XXE(XML外部实体注入)漏洞漏洞")
- SSRF服务端请求伪造漏洞,传送门——>SSRF(服务端请求伪造)漏洞漏洞")
- 文件包含漏洞 , 传送门——>文件包含漏洞
- 文件上传漏洞 , 传送门——>
最低0.47元/天 解锁文章
8022
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
