WAS:Web Application Security,
OWASP:Open Web Application Security Project
OWASP Top10:这是每年的一份关于web应用的十大威胁安全报告,会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的漏洞,同时也会对其进行详细的分析威胁所在。 2013与2017 OWASP 对比分析:http://blog.nsfocus.net/owasp-top-10-2017/
NMAP:NMap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。
安全技能树简版
西电信安协会技能点:
计算机基本常识、C语言基础、数据结构、各种常见web漏洞、使用一些常用入侵检测工具和辅助工具入侵一些安全系数较低的web应用、常用Windows命令(net user、net localgroup、net use、net share、net start、arp、whoami、regedit、tasklist、find、cp、mkdir、del、print....,批处理脚本)、一门就脚本语言、Linux使用、Windows编程、汇编语言、逆向破解、深入破解、exploit、木马免杀
#《Web安全深度剖析》
1、攻击者要对计算机进行渗透,必须能与服务器进行正常通信,通过端口进行入侵。过去的黑客攻击方式直接对目标进行攻击如端口扫描、密码爆破、缓冲区溢出等获取目标权限,新的战场转移到Web之上。
风险点
2、一般用浏览器发起HTTP请求,也可以用其他工具如curl发起请求,curl url。
HTTP请求:
HTTP响应:
GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT、OPTIONS
响应状态码:
Burp Suite Proxy用于Web应用安全测试工具的集成平台;Fidder也是好工具;Winsocket Expert;WireShark;Iptool;Sniffer;MiniSinffer。
SEO:搜索引擎优化。
3、信息探测
在google搜索栏中输入:site:baidu.com
Nmap工具,扫描命令。强大的Nmap Script。
指纹识别:根据特征可以识别出OS类型、web服务器类型等。
4、漏洞扫描
漏洞扫描工具:Burp Suite、AWVS、AppScan
#《Web渗透测试使用Kali Linux》
1、Web应用是指那些将Web浏览器当成客户端的应用。
渗透测试针对的是发现得漏洞:渗透测试无法让IT网络更安全。
BackTrack的作者发布了一个全新的高级渗透测试Linux发行版-Kali Linux(2013.03.13),BT5是BackTrack发行版的最后一个主版本。Kali Linux基于Debian,文件系统遵循FHS标准。
#网络安全行业分析
2018中国网络安全企业50强