网站漏洞查找思路

漏洞分类

一、已知cms

二、未知cms

三、已知软件或服务

四、系统层面漏洞

对应三大层面:

Web层面:   管理者对网站的不恰当的设置导致的漏洞 (xss, sql注入等)

服务层面:    第三方软件的版本漏洞, 比如apache2.4版本漏洞等

系统层面:     Windows或者linux系统本身的漏洞, (较少)

 

一、已知cms

1.  直接网上搜索相关程序漏洞

2.  若没有搜索到, 可下载一套相应的源码程序进行代码审计(时间、精力大), 去挖掘相关漏洞

 

二、未知cms

1. 利用相关漏洞扫描工具进行漏洞扫描:  (awvs, appscan)

2. 人工探针

 

三、已知软件或服务

1.  前期nmap等端口扫描工具对服务器进行端口服务的探测

2.  利用扫描获取到的端口服务名和版本信息进行漏洞网上查找。(如端口80对应的服务为apache2.*版本),  

 

四、系统层面漏洞

1. 前期nmap等端口扫描工具对服务器进行端口服务的探测

2. 采用nessus工具对服务器操作系统进行漏洞扫描

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值