WEB安全-渗透测试技术手册

最新推荐文章于 2023-08-19 14:15:00 发布
最新推荐文章于 2023-08-19 14:15:00 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: 网络安全 文章标签: 网络安全 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61409069/article/details/127145222
版权

来源:安界网-WEB安全-渗透测试技术

前言

        根据周老板及热月科技提供的课程资源进行学习并整理成本篇,以起到夯实基础之效。

一、渗透测试概述

  • 什么是渗透测试?

        渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件地主动利用安全漏洞。

        区分测试和黑客攻击的区别在于攻击的程度,例如搞垮测试点的服务器等标准,其次要时刻牢记中华人民共和国刑法第285和286条法律。切莫触犯法律红线。

  • 渗透测试的流程

  • 信息收集(DNS信息,路由关系,电子邮件,电话,网站所有人),
  • 目标识别(网络中的有哪些联网的设备以及通信地址),
  • 服务枚举(找到开放的端口及端口上提供的服务),
  • 漏洞映射(通过手动或工具发现漏洞),
  • 漏洞利用(在可接受范围内利用漏洞进行一些操作),
  • 权限提升(获取更高的权限,尝试进一步攻击及漏洞发现),
  • 权限维护(埋后门,留管理员账号,维护测试人员的访问权限),
  • 文档报告(将报告提交给客户)

二、扫描与信息收集

  • DNS信息收集

        DNS(Domain Name System域名系统),在此处是域名解析之意,一般访问网站都是通过访问域名,域名可以购买,但并不是购买之后即可使用,如果想令他人在公网上也可以访问域名,需要在公网进行域名解析。而解析的时候需要一些相关相关所有者的信息,这些信息就是我们要收集的东西。

        首先进入站长工具网(tool.chinaz.com),该网站可以查询一个网站各种各样的信息,本次我们从Whois查询开始,查询testfire.net网站的Whois信息ÿ

最低0.47元/天 解锁文章
我想吃个西瓜
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWVS使用手册
09-18
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它包含有收费和免费两种版本,AWVS官方网站是:http://www.acunetix.com/,目前最新版是V10.5版本,官方下载地址:https://www.acunetix.com/vulnerability-scanner/download/,官方免费下载的是试用14天的版本。这里我们以V10.5破解版来讲解。
AD-Pentest-Notes:渗透测试者的实用宝典
最新发布
gitblog_00065的博客
04-10 396
AD-Pentest-Notes:渗透测试者的实用宝典 项目地址:https://gitcode.com/chriskaliX/AD-Pentest-Notes AD-Pentest-Notes 是一个开源项目,由安全专家 Chris KaliX 提供,旨在为活跃在活动目录(Active Directory)环境下的渗透测试者提供全方位的指南和工具集合。该项目以 Markdown 格式编写,易于阅...
干货丨渗透测试常用方法总结,大神之笔!
m0_61869253的博客
03-18 1482
一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎有授权的情况下直接使用 nmap 、masscan 、自己写py脚本等端口扫描工具直接获取开放的端口和获取服务端的 banner 信息。使用 Python 端口扫描的介绍https://thief.one/2018/05/17/1/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.ioWindows 下基于 Powershell 的端口扫描脚本。
Web渗透测试
weixin_70095023的博客
04-19 1142
本章主要概述web常见漏洞原理与危害和渗透测试步骤,流程和方法。
web安全详解(渗透测试基础)
fly_enum的博客
08-19 2306
一、Web基础知识 1.http协议 超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准,是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范,简单点说就是一种固定的通讯规则。 2.网络三种架构及特点 网络应用程序架构包括三种: 客户机/服务器结构(C/S) 浏览器/服务器结构(B/S) P2P结构 C/S架构 需要安装特定的客户端程序 针对不同平台开发不同版本 升级应用需重新安装 能够直接使用客户端硬件资源 B/S架构 客户端无需安装,
Web渗透测试实战——(1)Web渗透测试简介
fly_enum的博客
07-03 2065
渗透测试(penetration testing)是对计算机系统的一种授权攻击,旨在评估系统/网络的安全性,执行测试以识别漏洞及其带来的风险。一般而言,渗透测试过程分为五个阶段:包括识别目标系统、检测存在的漏洞以及每个漏洞的可利用性。渗透测试的目标是找到尽可能多的漏洞,并交付客户可以接受的通用格式报告。
Web安全测试操作指导书_华为v1.0.doc
02-27
这份文档适用于进行Web安全测试的专业人士,包括渗透测试工程师和Web测试工程师。 ### 1. 目的和范围 #### 1.1. 目的 该文档的主要目的是简化和整合测试用例,使得测试人员能够快速定位和识别Web应用中的安全问题...
Web渗透测试初级入门.rar
10-15
web应用程序黑客手册,本书结构 第一章web应用入侵基础 这一章我们广泛的概述了web应用的入侵攻击技术,同时展示了具体实例 第二章剖析 该章讲解了作为攻击web应用及其相关基础设施前奏的侦察过程
网络安全渗透测试指导框架
01-21
OWASP是一个专注于Web应用安全的全球社区,其发布的OWASP渗透测试框架(OWASP Testing Guide)提供了一套全面的Web应用渗透测试方法。该框架包括了功能测试、逻辑测试、代码审查等多个方面,旨在发现并解决Web应用...
Web安全学习笔记 2021 中文PDF最新版
04-13
第二部分按照常见的渗透测试的顺序,对信息收集、常见的Web漏洞、常见语言与框架、内网渗透的技巧等进行了简单的讲述,开始学习渗透测试之后通常会接触到这部分内容。第三部分回到防御的视角,从安全团队的建设、...
基于Kali Linux的渗透测试.pdf
09-06
在行业内被广泛采纳的有:ISSAF(信息系统安全评估架构)、NIST800-115(信息安全测试与评估技术指南)、OWASP(开放式 WEB 应用安全)、PTES(渗透测试执行标准)、OSSTMM(开源安全测试方法手册)。 3. 渗透测试...
Web运维之安全配置指导手册
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-31 1461
【背景】 网站运维目前已是作为运维工作中的主要场景,每个企业都有各种业务及网站需要管理,其中安全作为企业业务上线前和生命周期中的持续监测和加固,更是运维工作者面对的主要工作,如何做好安全,为企业安全保驾护航,为业务稳定健康运行,至关重要,本期针对此目的,将手机整理相关网站运维安全知识,为安全运维提供参考。...
史上最全Sqlmap手册
hackzkaq的博客
08-04 917
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 一.介绍 开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能够查看数据,文件系统访问,甚至能够操作系统命令执行。 检测方式:布尔盲注、时间盲注、报错注入、UNION联合查询注入、堆叠注入 支持数据库:Mysql、Oracle、PostgreSQL、MSSQL、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDb 二.基本参数.
Web 安全简明入门指南
bdfcfff77fa的博客
03-27 227
Web 安全已经是 Web 开发中一个重要的组成部分,而许多程序猿往往希望专注于程序的实现,而忽略了信息安全的实质。如果没有严谨地考虑到信息安全问题,等出了乱子之后反而会造成更严重的损失。所以要在开发网络应用时更注重 Web 安全,甚至努力成为一个白帽子黑客。不信任用户输入的数据,确保用户输入必须经过检查,目前许多成熟的 Web 框架都支持ORM 服务,大部分都基本防范了 SQL 注入。XSS 也很容易将恶意代码植入到网页,让看到网页的用户受到干扰,常见的重灾区包括BBS、留言板等。
如何进行Web渗透测试,渗透步骤和方法
weixin_55154866的博客
06-19 1920
渗透测试渗透测试工程师对黑客可能用来深入检测目标网络、主机和应用程序安全的攻击技术和漏洞发现技术的完整模拟,并找到系统之中最易受攻击的环节。
testfire.net的一点试验流程
qq_43695654的博客
03-29 3290
根据书《Metasploit渗透测试魔鬼训练营》而来。 关于testfire.net: 是一个包含很多Web漏洞的模拟银行网站。 步骤: 一、通过DNS和IP地址来挖掘目标网络信息。 关于DNS功能(域名系统): 将域名转换为IP。 对于已知的IP或者域名后,来获取更多信息。 1、可以进行whois查询 在msf中使用: msfconsole whois testfire.net...
Web安全——渗透测试基础知识下
钟言的博客
07-10 1969
本篇介绍了Web安全关于渗透知识的下篇,其中包含了: VMware虚拟机学习使用 1、虚拟机简单介绍 2、网络模式 2.1 桥接网络 (Bridged Networking)2.2 NAT模式 2.3 Host-Only模式 3、通俗理解 二、Kali的2021安装与配置 1、简单介绍 2、Kali的版本 3、配置 3.1 安装虚拟机open-vm-tools-desktop模块 3.2 设置中文 3.3 安装python3的pip 3.4 更新源 2、ascii编码 3、HTML编码 4、URL编码等等
OWASP测试指南中文版
12-30
此外,指南详细列出了各种渗透测试技术,包括信息收集、配置管理、认证、授权、会话管理、加密、业务逻辑等多个方面。例如,信息收集阶段涉及使用蜘蛛、机器人和爬虫来探测应用入口和指纹,配置管理测试涵盖了SSL/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值