web的漏洞测试(一)

最新推荐文章于 2023-11-22 21:50:16 发布
最新推荐文章于 2023-11-22 21:50:16 发布
阅读量225 收藏 1
点赞数
分类专栏: WEB 安全 文章标签: 安全漏洞 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tikiyou/article/details/116518897
版权

web的漏洞测试(一)

同事的一个网站要对外使用,由于以前发生过被黑的事情,所以这次让我们做一下web的漏洞测试,在网上找了找相关的工具,基本都说如下三种强大,Nessus、Acunetix(AWVS)、brup suite,同事使用Nessus做了一个生产检查,我则用AWVS做了一下本地开发测试,选择了扫描本地安装的XAMPP的Apache缺省网站,信息如下:

在这里插入图片描述前两个小时运行很快,进度到了95%,以为很快能结束呢,
在这里插入图片描述1000多分钟了,还是98%

完全扫描花费了近1200分钟,这是20个小时啊,完全扫描真是内容多,时间长,但一定值得。
在这里插入图片描述
选择生产报告
在这里插入图片描述
选择生产了三份报告,即Executive Summary执行摘要报告,3页,Affected Items受影响项目报告,186页,Compliance Report是ISO 27001合规性报告,668页。

三份报告的内容如下:
https://download.csdn.net/download/tikiyou/18464327
https://download.csdn.net/download/tikiyou/18464349
https://download.csdn.net/download/tikiyou/18464361

下一步,花费一些时间逐步分析一下文件内容,以达到学习和提升的目的。

半亩小菜园
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见的Web安全漏洞测试方法介绍
2201_75571291的博客
06-10 1049
Web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。随着互联网的发展,Web应用已经融入了我们的日常生活的各个方面。在目前的Web应用中,大多数应用不都是静态的网页浏览,而是涉及到服务器的动态处理。如果开发者的安全意识不强,就会导致Web应用安全问题层出不穷。我们一般说的Web应用攻击,是指攻击者通过浏览器或者其他的攻击工具,在URL或者其他的输入区域(如表单等),向Web服务器发送特殊的请求,从中发现Web应用程序中存在的漏洞,进而操作和控制网站,达到入侵者的目的。
设备告警的分析研判——Web漏洞的分析检测(WAF/IPS)
m0_63645854的博客
04-18 1967
Web漏洞分析检测
常见Web安全漏洞测试方法
VN520的博客
04-20 982
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式或限制长度;对单引号和双"-"进行转换等。2、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。3、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。4、不要把机密信息直接存放,加密或者Hash掉密码和敏感的信息。5、应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
web常见漏洞有哪些以及漏洞监测有什么方法?
weixin_47874785的博客
08-21 966
web常见漏洞以及漏洞监测方法
WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
qq_33163046的博客
04-27 8186
WEB安全的主要类型每年都要较小的变化。熟练掌握最常见的WEB漏洞类型是渗透工作的展开的重要基础。
WEB漏洞测试扫描工具
08-23
可以用于多种漏洞扫描
Web应用进行XSS漏洞测试
03-03
WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
云端Web漏洞手工检测分析
m0_47111148的博客
02-03 367
云端Web漏洞手工检测分析
网络渗透测试实验四
babywhale_bi的博客
12-13 3965
网络渗透测试实验报告 实验目的 通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用,系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验内容、原理 目的:获取靶机Web Developer 文件/roo..
将 Burp Suite 与 Acunetix漏洞扫描器集成
goldksoft的博客
12-07 166
一个的Acunetix爬行可以使用打嗝套房预先播种。当需要在使用 Burp 评估同一目标应用程序后执行自动 Acunetix 扫描时,这可能非常有用。 使用此类数据预先播种 Acunetix 爬网可让 Acunetix 爬网程序在扫描站点时抢占先机,同时确保 Acunetix 爬网程序不会遗漏已使用 Burp 捕获的请求。当网站的某些部分未从主网站链接到时,可能会发生这种情况。
10大漏洞评估和渗透测试工具
YJ_12340的博客
06-17 3558
10大漏洞评估和渗透测试工具
安全工具Web漏洞扫描十大工具
qq_44005305的博客
10-09 2770
漏洞扫描技术是建立在端口扫描技术的基础之上的,从对黑客的攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个特定的端口的,所以漏洞扫描技术以与端口扫描技术同样的思路来开展扫描的。漏洞扫描技术的原理是主要通过以下两种方法来检查目标主机是否存在漏洞,在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在,通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,若模拟攻击成功,则表明目标主机系统存在安全漏洞
检测你的Web系统有多少安全漏洞
2301_76161259的博客
03-28 268
Internet的开放性使得Web系统面临入侵攻击的威胁,而建立一个安全Web系统一直是人们的目标。一个实用的方法是,建立比较容易实现的相对安全的系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类安全辅助系统。漏洞扫描就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。作为一种保证Web信息系统和网络安全必不可少的手段,我们有必要仔细研究利用。
6、如何对一个网页进行渗透测试
最新发布
2301_79328240的博客
11-22 60
获取目标网址:首先要找到目标网址。 扫描漏洞:了解目标网站的技术架构及存在的弱点,如网络端口、软件版本和框架等方面的信息。可以使用各种工具来扫描这些漏洞,如nmap, Nikto, Nessus 等。 检查是否存在跨站脚本(XSS)漏洞:利用浏览器的javascript功能,寻找可利用的XSS漏洞。XSS攻击允许攻击者在用户的浏览器上执行恶意代码,窃取登录凭据或修改网页内容。 利用文件上传漏洞:检查是否有文件上传的上传点,利用一句话木马 寻找登录表单或后台管理界面:如果存在,尝试登录或破解管理员账号
网站渗透测试原理及详细过程
ZL_1618的博客
07-28 762
渗透测试(Penetration Testing)目录一、简介二、制定实施方案三、具体操作过程四、生成报告五、测试过程中的风险及规避零、前言渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hacking),因此我们这里的所有读者应当都是Ethical Hackers,如果您还不是,那么我希望您到过这里后会成为他们中的一员;
Web漏洞扫描
m0_75056154的博客
04-04 1124
Xray是一款功能强大的安全评估工具,由多名经验丰富的一-线安全从业者呕心打造而成检测速度快、支持范围广、代码质量高、高级可定制、安全无威胁Xray支持多种漏洞检测,主要漏洞检测类型如下XSS跨站脚本攻击    SSRF跨站请求伪造命令、代码注入    ThinkPHP系列路径穿越    弱口令SQL注入    文件上传目录枚举    POC框架XML实体注入    CRLF注入其中POC框架默认内置Github.上贡献的POC,用户也可以根据需要自行构建。
web漏洞检测项
千寻的博客
05-22 700
文章目录常规web漏洞检查列表注入漏洞XSS安全配置错误登录认证缺陷敏感信息泄露权限控制不严格跨站请求伪造 (CSRF)使用了存在漏洞的组件其他类型漏洞其他漏洞已公开高危漏洞业务逻辑漏洞检测列表登录注册密码找回购买支付充值抽奖/活动代金卷/优惠卷订单账户用户信息后台管理业务查询业务查询传输过程评论第三方商家 常规web漏洞检查列表 注入漏洞 HTML注入-反射性(GET)(POST)(Current URL) HTML注入-存储型 iFrame注入 LDAP注入(Search) 邮件Header注入 PH
Web漏洞分析
qq_59363286的博客
11-13 961
关于软件安全Web分析实验
使用python写web漏洞测试
05-29
要使用 Python 编写 Web 漏洞测试,你需要先安装 Python 和一些使用 Python 的 Web 漏洞测试工具。以下是一些常用的 Python Web 漏洞测试工具: 1. Burp Suite:Burp Suite 是一款常用的 Web 安全测试工具,它支持...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值