渗透测试

最新推荐文章于 2024-04-02 16:47:59 发布
最新推荐文章于 2024-04-02 16:47:59 发布
阅读量589 收藏
点赞数
分类专栏: 测试 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Life_Unexpected/article/details/103421121
版权
本文探讨了app和web渗透测试的区别,强调了两者在测试点、漏洞类型、客户端安全措施以及架构上的异同。web渗透主要关注服务端和协议,而app渗透涉及客户端、协议和服务端,通常需要进行APP逆向工程。两者都包含类似的安全漏洞,如跨站脚本、SQL注入等,且都需要测试与服务端的通讯和接口。
摘要由CSDN通过智能技术生成

app和web渗透测试的区别

1.渗透测试
在取得客户授权的情况下,利用模拟黑客攻击的方式,来评估计算机网络系统安全性能的方法。

渗透测试会涉及的三个点:客户端、协议、服务器。

web渗透测试的特点:1.涉及的点:服务端和协议,渗透的对象的业务接口。
2.业务接口常见漏洞有跨站脚本攻击,SQL注入,身份认证和会话管理 缺陷,访问控制缺陷,业务逻辑设计缺陷,信息泄露等
3.无需逆向就可以渗透;JS代码混淆,遇到加密可以直接调用js代码;采用B/S架构。

app渗透测试的特点:1.涉及点:客户端,协议,服务端。
2.应用自身常见的漏洞二进制代码,客户端数据,存储跨进程交互(Android),加密算法及密码等方面的漏洞,业务接口常见漏洞有跨站脚本攻击,SQL注入,身份认证和会话管理缺陷,访问控制缺陷,业务逻辑设计缺陷,信息泄露等
3.需要对APP逆向;客户端安全有加强,有复杂的防御机制,如加固,代码混淆,密钥白盒等;遇到加密算法,环境检测等需要自行写hook脚本进行解密和绕过;采用C/S架构。

共同点:1.有相同的漏洞,比如跨站脚本攻击,SQL注入,身份认证和会话管理缺陷等。
2.都需要与服务端进行通讯,并且对接口进行渗透测试。

测试的方案和流程:

最低0.47元/天 解锁文章
Life_Unexpected
关注
专栏目录
Kali Linux渗透测试技术详解
02-19
Kali Linux渗透测试技术详解本书由浅入深地介绍了Kali Linux的各种渗透测试技术。书中选取了最核心和最基础的内容进行讲解,让读者能够掌握渗透测试的流程,而不会被高难度的内容所淹没。本书涉及面广,从基本的知识...
app测试和web测试有什么区别
nhb687096的博客
08-03 1040
web项目,一般都是b/s架构,基于浏览器的,而app则是c/s的,必须要有客户端。web是基于浏览器的,所以更倾向于浏览器和电脑硬件,电脑系统的方向的兼容,不过一般还是以浏览器的为主。包括安装时的中断、弱网、安装后删除安装文件,更新的强制更新与非强制更新、增量包更新、断点续传、弱网,卸载后删除app相关的文件等等。这里的异常场景就是中断,来电,短信,关机,重启等。需要测试丢包,延时的处理机制。app产品的用户都是使用的触摸屏手机,所以测试的时候还要注意手势,横竖屏切换,多点触控,事件触发区域等测试。
APP渗透抓包
剁椒鱼头没剁椒的博客
02-17 5639
这里可以使用FoxyProxy插件,将代理也设置为127.0.0.1:8080,这种我们在访问http服务的时候就可以进行抓包了,若抓https的包则需要安装证书。这里我使用的是最新版的夜神模拟器,官网可以直接下载,而雷神模拟器可能会存在无法抓包的情况,至于其它的模拟器可以自行尝试安装测试,不过还是建议使用夜神模拟器。这里需要先将名字修改为zs.cer,当然名字可以随意设置,然后打开设置—安全—从SD卡安装—zs.cer—设置一个密码—为证书命名—确定—证书就安装了。正常网站的交互: 浏览器——>网站。
APP渗透总结
最新发布
m0_64481831的博客
04-02 2074
APP渗透测试Web渗透测试本质上没有区别。目前APP应用主要分为Android和IOS,但是由于苹果的IOS操作系统不开源,所以一般对IOS系统进行渗透和反编译会比较困难,所以一般对APP系统进行渗透测试都是对Android进行测试。
web(b/s)与APP(c/s)测试区别
kaluman的博客
06-08 1845
App
Yzz_的博客
11-02 555
app渗透测试原理 (app渗透测试web渗透测试基本没有区别)在项目中90%是没有源码的 其实只要web存在得漏洞,app也都存在,比如:sql注入、验证码绕过、越权、支付漏洞、csrf、变量覆盖、反序列化、文件包含、ssrf、xxe、文件上传等。那么渗透测试的核心就是控制传参(把控传参),只有传参了,产生交互了,才可以把网站渗透测试下来。 app实际上的交互是什么,跟app交互的还是服务器,用的还是http协议。>>>app>网站 正常网站的交互是浏览器到网站 >&gt
渗透测试基础 - APP渗透测试(上)
weixin_45488495的博客
05-15 5358
渗透测试基础- APP渗透测试(下)简介抓取手机数据包实战APP渗透测试漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 简介 【本篇核心思想】 app渗透web渗透没有本质区别渗透测试这个领域,完全可以把这俩当成同一种东西 不管是手机APP还是电脑APP,其底层还是数据交互,只要能控制数据,就能实现测试效果 抓取手机数据包 本身想直接贴一人别人写的操作步骤链接的,既然要讲,就从头到尾复习一边好了。 这里以手机为切入点,当
PC端(cs客户端)渗透测试规范
03-19
PC端(cs客户端)渗透测试用例,涵盖PC端程序渗透测试规范和渗透测试用例,针对PC端渗透测试用这个就够了
渗透测试授权书》.doc
12-09
渗透测试授权书》是甲乙双方在进行渗透测试前签订的重要法律文件,它规定了双方在测试过程中的权利和责任,确保测试的合法性和安全性。渗透测试是一种模拟黑客攻击的技术手段,用于评估计算机网络、系统和应用程序...
内网安全攻防渗透测试实战指南.pptx
07-01
内网安全攻防渗透测试实战指南 内网安全攻防渗透测试实战指南是指在内网中进行的渗透测试实战指南,旨在帮助安全人员和渗透测试人员更好地理解内网安全攻防的原理和方法。 内网安全攻防渗透测试实战指南主要包含...
渗透测试环境部署DVWA
10-29
渗透测试是一种合法的安全实践,用于评估网络和系统的防御能力,以发现潜在的漏洞。DVWA(Damn Vulnerable Web Application)是一款专门为渗透测试和安全教育设计的开源Web应用程序。在这个环境中,我们可以模拟各种...
渗透测试工具-Cobalt Strike
03-21
**Cobalt Strike:渗透测试的强大武器** Cobalt Strike(简称CS)是一款广泛应用于网络安全领域的高级渗透测试工具,主要用于模拟攻击者的行为,帮助安全专业人员检测和评估组织的防御能力。这款工具以其强大的功能...
渗透测试.pdf
07-15
渗透测试是信息安全领域的一个重要分支,它是一种模拟黑客攻击的技术和方法,用来评估计算机系统、网络或Web应用的安全性。通过渗透测试,安全专家可以发现并修复潜在的安全漏洞,提高系统的安全性,保护企业免受...
渗透测试学习笔记资源
08-19
根据提供的文件信息,我们可以深入探讨渗透测试的相关知识点。渗透测试是一种模拟攻击者行为的安全评估方法,旨在识别系统、网络或应用程序中的安全漏洞。通过利用这些漏洞,渗透测试可以帮助组织了解其安全态势,并...
网络安全进阶篇(十一章-5)APP渗透测试篇(上)
热门推荐
划水的小白白
08-02 1万+
每日一句: 渗透测试,一定要有耐心,所有的功能点都要测试。 很多地方不亲身经历是没有太多的感受的。 一、App渗透测试原理 1.简介 App渗透测试Web渗透测试从某种角度说基本没有区别 App其实就是手机软件,咱们不需要害怕他。 说一个简单的道理,一个网站存在sql注入,用电脑访问存在,用咱们的手机去访问一样存在注入。 大部分漏洞的存在并不是在客户端而是在服务端 例如: SQL注入、验证码绕过、越
测试详解—Web测试和App测试的区别
软件测试技术交流分享
04-28 2056
WEB测试和app应用测试从流程上来说,没有区别。都需要经历测试计划方案,用例设计,测试执行,缺陷管理,测试报告等相关活动。从技术上来说,WEB测试和APP测试其测试类型也基本相似,都需要进行功能测试,性能测试,安全性测试,GUI测试等测试类型。
App测试与Web测试的区别
了解➔熟悉➔掌握➔精通
09-29 531
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net 单纯从功能测试的层面上来讲的话,App测试与Web测试是没有本质区别的。 但根据两者载体不一样,则区别如下: 系统架构方面 Web项目,B/S架构,客户端就是浏览器;只要更新了服务器端,客户端就会同步更新。 App项目,C/S架构,必须要有相应的App客户端;App修改了服务端,则App客户端所有核心版本都需要进行一遍回归测试。 ...
app测试-资源提取-测试框架-反证书抓包
告白的博客
05-20 1499
0x00 app测试 APP渗透测试Web渗透测试基本没有区别APP(应用程序,Application),一般指手机软件。一个网站存在SQL注入,用PC端浏览器去访问存在SQL注入漏洞,用手机浏览器去访问一样也存在SQL注入漏洞,APP大部分漏洞的存在并不是在客户端而是在服务端。 0x01 资源提取-AppinfoScanner 资源提取分为内在资源提取与外在资源提取,内在提取主要针对反编译的源码中的信息提取,外在提取可以提取到内在无法获取到的动态信息,例如交换的IP等,这里介绍一下内在的自动化app
Metasploit渗透测试实战指南
"Metasploit渗透测试指南中文版" Metasploit是网络安全领域中的一款强大工具,主要用于渗透测试和安全漏洞的研究。《Metasploit渗透测试指南》是一本深入讲解该平台的专业书籍,由David Kennedy、Jim O’Gorman、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值