常见的渗透测试类型

最新推荐文章于 2023-08-25 17:19:52 发布
最新推荐文章于 2023-08-25 17:19:52 发布
阅读量1.9k 收藏 4
点赞数 1
分类专栏: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq19970496/article/details/105772313
版权

SQL注入

SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的目的。

XSS

XSS(Cross Site Scripting):跨域脚本攻击。向你的页面注入脚本(可能是js、hmtl代码等),执行一些操作,或者获取用户信息。例如通过js获取cookie值:

<script type="text/javascript">
alert(document.cookie)</script>

CSRF

CSRF(Cross-site request forgery):跨站请求伪造。攻击者盗用用户身份,伪造用户的身份发送请求。

会话重放

指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

越权访问

水平越权:权限一样的两个用户可以访问对方的信息数据或者进行操作。
垂直越权:普通用户通过越权可以访问到更高级别用户的操作权限。普通用户登录后,可以输入高级别用户的访问路径进行操作。

DDOS攻击

分布式拒绝服务攻击是指通过分式,协同大规模的方式在同一时间对服务器进行攻击,目标使服务器无法正常提供服务。

目录遍历

应用程序对用户的输入未经合理校验,就传送给一个文件API。攻击者可能会使用一些特殊的字符(如../)摆脱受保护的限制,访问一些受保护的文件或目录。

索菲亚李
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透测试常见端口以及攻击方向
11-22
渗透测试常见端口以及攻击方向,从服务类型,端口号,端口说明,攻击方向四个层面对常见的端口号进行深度剖析,觉得还不错的话给博主点个关注吧
Java源码安全审查
one大白(●—●)的博客
08-13 1544
Java源码安全审查 最近业务需要出一份Java Web应用源码安全审查报告, 对比了市面上数种工具及其分析结果, 基于结果总结了一份规则库. 本文目录结构如下: 检测工具 FindSecurityBugs 基于class文件分析, 他是大名鼎鼎的findbugs的插件, 安装比较简单. 在findbugs官网下载安装包, 插件jar, 把jar放到findbugs-3.0.1\plugin目录. 打开bin路径下的findbugs.bat启动软件. 在菜单栏 - 编辑 - 选项可以查看插件是否启用成
渗透测试分类
weixin_58373549的博客
12-29 3974
渗透测试的分类 1,根据渗透测试方法分类: (1)黑盒测试:将测试对象看成一个黑盒子,完全不考虑测试对象的内部结构和内部特性。 (2)白盒测试:将测试对象看成一个打开的盒子,测试人员依据测试对象内部逻辑结构相关信息,设计或选择测试用例。 (3)灰盒测试:介于白盒和黑盒之间,是基于测试对象内部细节有限认知的软件测试方法。 2,根据渗透测试目标分类: (1)主机操作系统测试:对Windows,Solaris,AIX,Linux,SCO,SGI等操作系统本身进行渗透测试。 (2)数据库系统渗透:对M
渗透测试方法共有多少种方法?
VN520的博客
04-06 2579
每种方法的渗透测试都需要特定的知识、方法和工具来执行,并且。网络服务渗透测试是最常见渗透测试类型之一。该种渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。执行鉴于网络为企业提供关键任务服务,以上攻击建议至少每年执行一次内网和外网网络渗透测试。这将为的企业提供足够的覆盖范围以抵御这些攻击媒介。Web 应用程序渗透测试,用于发现基于 Web 的应用程序中的漏洞或安全弱点。
网络安全渗透测试的7种主要类型
喜欢Python编程的程序员柚柚呀
08-25 305
如果攻击者能够成功闯入公司的网络,其引发的风险将会非常高。网络渗透测试主要指测试人员尝试绕过防火墙、测试路由器、规避入侵检测和防御系统(IPS/IDS)、扫描端口和代理服务,并寻找所有类型的网络漏洞。在实际应用中,网络渗透测试工作主要包括外部网络渗透测试与内部网络渗透测试。在外部网络渗透测试中,面向互联网的资产是模拟攻击的主要目标。通常,目标资产会由客户提供,但也可以在客户确认的情况下执行“无范围”(no-scope)测试。测试人员将尝试在扫描期间发现的任何可利用漏洞。
渗透测试有哪些类型
weixin_68789096的博客
04-06 917
在黑盒渗透测试(也称为外网渗透测试)期间,渗透测试人员几乎没有获得有关企业 IT 基础设施的信息。该测试的主要目的是通过模仿实际威胁参与者的行为来模拟对内网网络的攻击。这种类型渗透测试,试图发现和利用系统的漏洞来窃取或破坏组织的信息。渗透测试人员扮演不知情的攻击者角色,模拟真实世界的网络攻击。因此,测试将显示实施的安全措施,是否足以保护组织系统,并将结果用来评估其防御任何外网攻击的能力。部署一系列已知有效的漏洞,是渗透测试人员在黑盒测试期间闯入系统的最简单方法之一。
Java代码审计中常见的漏洞(三)
武天旭的博客
12-10 1247
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 路径遍历 2 Session存储非序列化对象 3 XML使用any元素 4 安全方法被重写 5 广泛信任证书 6 不安全的随机数 7 密码编码安全
阿里巴巴规约扫描、奇安信扫描bug修改建议
look_word的博客
12-23 3589
阿里巴巴规约扫描、奇安信扫描bug修改建议
漏洞扫描解决方案汇总
liudachu的博客
03-06 4847
【代码】漏洞扫描解决方案汇总。
360奇安信和SonarQube漏洞及bug修改
qq_60547244的博客
07-12 6682
360奇安信和SonarQube漏洞及bug修改
MDUT v2.1.1 图形化的数据库利用工具,数据库渗透测试工具
11-23
MDUT 全称 Multiple Database Utilization Tools,是一款中文的数据库跨平台利用工具,集合了多种主流的数据库类型。基于前人 SQLTOOLS 的基础开发了这套程序(向 SQLTOOLS 致敬),旨在将常见的数据库利用手段集合在...
Python项目开发实战_操作系统判断渗透测试_编程案例解析实例详解课程教程.pdf
05-02
它可以很容易地处理一些典型操作,比如端口扫描、tracerouting、探测、单元测试、攻击或网络发现等大多数常见的任务。它可替代 hping、NMAP、arpspoof、ARP-SK、arping、tcpdump、tethereal、P0F等工具。最重要的,...
ArcSight UseCase常见类型简介-ArcSight实战系列之六.pdf
09-18
ArcSight UseCase常见类型简介-ArcSight实战系列之六 安全建设 安全架构 云安全 培训与认证 信息安全
Webmail Hacking.ppt
08-14
mottoin团队每周技术分享,千寻牛《WebMail Hacking》 总目录 webmail的定义 国内常用企业邮箱 常用企业邮箱漏洞 webmail渗透测试流程 信息收集 webmail常见的漏洞类型 案例说明 webmail防御 总结
新版firefox中没有firebug了
热门推荐
qq19970496的博客
01-03 1万+
firebug再见了! 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计...
Jmeter四大随机数(一):${__Random(,,)}随机数
qq19970496的博客
09-19 1万+
在接口性能测试过程,我们经常需要用不重复的参数。Jmeter提供的随机数函数很好的解决我们的难题。jmeter共提供了4随机数分别为:数字随机数Random,日期随机数RandomDate,字符串随机数RandomString和变量随机数RandomFromMultipleVars;满足我们不同场景下的传参需求。 数字随机数Random 测试过程我们需要每一次传递不同的数字,例如各种ID值。使用$...
Jmeter从入门到精通-看这一篇就够了
qq19970496的博客
09-27 1万+
安装与配置 Jmeter安装与配置:Windows https://blog.csdn.net/qq19970496/article/details/100781616 Jmeter设置默认语言为中文简体 https://blog.csdn.net/qq19970496/article/details/100884856 接口测试 Jmeter快速创建接口测试脚本 https://blog.csd...
2020软件测试报告模板
qq19970496的博客
04-23 9755
软件测试报告测试概述编写目的项目介绍测试目标测试资源人力资源软硬件环境网络拓扑测试执行过程功能测试性能测试缺陷分析测试结论与建议测试结论建议 测试概述 编写目的 提示:XX系统阶段测试的总结,发现问题,已经解决问题,和组员的工作成果,和现阶段系统的质量评估。 项目介绍 提示:说明被测试产品,包括背景、项目介绍、主要功能、部署和测试环境进行的简单描述。 测试目标 测试目标:本版本测试应达到的目标和实...
渗透测试工程师学习路线
最新发布
12-20
渗透测试工程师的学习路线可以分为以下几个步骤: 1. 基础知识学习:首先,你需要掌握计算机网络和操作系统的基础知识。了解TCP/IP协议、网络拓扑、常见的操作系统以及它们的安全特性。 2. 编程语言学习:学习一门编程语言,如Python或者Java。这些语言在渗透测试中非常有用,可以帮助你编写自动化脚本和工具。 3. 渗透测试工具学习:学习使用常见渗透测试工具,如Nmap、Metasploit、Burp Suite等。了解它们的原理和使用方法,并能够根据需要进行配置和使用。 4. 漏洞分析与利用:学习常见的漏洞类型和攻击技术,如SQL注入、XSS、CSRF等。了解漏洞的原理和利用方法,并能够进行漏洞分析和利用。 5. 渗透测试方法学:学习渗透测试的方法和流程,如信息收集、漏洞扫描、漏洞利用、权限提升等。了解渗透测试的各个阶段和常用的工具和技术。 6. 实战训练:进行实际的渗透测试训练和实践,参与CTF比赛、渗透测试项目等。通过实战训练提升自己的技能和经验。 7. 持续学习:渗透测试是一个不断发展和变化的领域,你需要持续学习和跟进最新的安全技术和漏洞。参加安全会议、阅读安全博客和论坛等可以帮助你保持更新。 总结起来,渗透测试工程师的学习路线包括基础知识学习、编程语言学习、渗透测试工具学习、漏洞分析与利用、渗透测试方法学、实战训练和持续学习。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

索菲亚李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值