OWASP-IG-004

最新推荐文章于 2019-08-06 11:09:00 发布
最新推荐文章于 2019-08-06 11:09:00 发布
阅读量445 收藏
点赞数
分类专栏: OWASP 文章标签: web服务 测试 服务器 application 数据库 testing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tingirl/article/details/5185687
版权

 

Testing for Web Application Fingerprint (OWASP-IG-004) WEb 应用指纹测试

 

 

 

 

 

怎么做的呢?其实很简单,就是使用一些请求,通过web返回的信息同已知特征相比较,就能够判断这个网站用的是什么程序,服务器是什么版本的。

 

 

服务器的版本类型不同,将影响整个测试的环节。服务器的命令不同,测试项和测试方法也将不同。

 

通过了解每个类型的 Web 服务器响应特定的命令,维持一个 Web 服务器的指纹数据库,将这些命令发送到 Web 服务器,获得这些请求的应答,比较其已知签名的数据库,从而获知其版本。请注意,通常需要几个不同的命令来准确地确定 Web 服务器,因为不同的版本可能对相同的命令有同样的反应。

 

 

最简单的测试实例就是查看header。

 

这个里面fingerprint对应的太多了,就不一一赘述了。

 

同样的介绍一些工具:

 

http://net-square.com/httprint/index.shtml

 

http://news.netcraft.com/

 

 

 

tingirl
关注
专栏目录
OWASP-IG-001
tingirl的专栏
01-13 698
  information gathering就是信息搜集。在做渗透测试的过程中,搜集信息一定是第一步。 IG就是信息搜集。IG-001测试Spiders, Robots, and Crawlers 这一节主要描述如何测试robot.txt文件。 每个网站都有一个robot.txt,在这个文件中声明该网站中不想
Web应用指纹检测
Q1n6
09-06 6654
转载自:http://www.freebuf.com/news/137497.html 0×01 Web 应用技术概览 1.1 架构 大多数 web 应用可以粗略划分为三个组件(component)。 1、客户端, 大多数情况下是浏览器。 2、服务端, Web 服务器接收客户端的HTTP请求并进行响应。另外,有时候 Web服务器只转发请求到应用服务器(Application Se
OWASP-IG-005
tingirl的专栏
01-22 611
 Application Discovery (OWASP-IG-005)应用发现      作为安全专业人员,有时给你一个集合的IP地址也可能只有一个IP地址来进行测试。常常有这样的情况,系统通过未关联DNS来隐藏一些web应用。因此,目标比你最开始看到的往往要更丰富。这样的情况大型组织比较常见。Web应用发现就是为了发现这些信息。
OWASP-IG-002
tingirl的专栏
01-13 495
Search engine discovery/Reconnaissance (OWASP-IG-002) 搜索引擎发现/侦查 本节介绍了如何获得谷歌的索引并查看谷歌缓存中是否已经移除相关的网页内容。 一旦Googlebot已完成抓取,搜索引擎会以网页上的tag和相关属性作为索引,如标题>,以返回相关的搜索结果。
OWASP-IG-003
tingirl的专栏
01-13 649
 Identify application entry points (OWASP-IG-003)识别应用程序的注入点 什么是注入点? 简而言之,就是可以被渗透进入的点。 对要攻击的应用程序有了初步的认识后,攻击者会试图定位由人为构造的输入而产生的错误信息。 通过一个拦截代理服务器(intercepting
OWASP-IG-006
tingirl的专栏
01-22 616
OWASP-IG-006 错误代码的分析 在这一节中,我们将分析比较常见的代码(错误信息)。一个很好的集合可以有效的降低整体的执行渗透测试的时间。Not FoundThe requested URL /page.html was not found on this server.Apache/2.2.3 (Unix)
安全体系建设-OWASP
weixin_30865427的博客
08-06 170
OWASP Checklist Spiders, Robots and Crawlers IG-001 Search Engine Discovery/Reconnaissance IG-002 Identify application entry points IG-003 Testing for Web Application Fingerprint ...
OWASP总述
tingirl的专栏
12-31 1078
             早就想写这个日志了。 OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。 大概是
OWASP测试指南:全面探索Web应用安全
如4.2章节,涉及信息收集阶段的多个方面,如利用蜘蛛、机器人进行测试OWASP-IG-001),搜索引擎发现/侦查(OWASP-IG-002),应用入口识别(OWASP-IG-003),以及Web应用指纹测试OWASP-IG-004)。此外,还包括了...
OWASP测试指南:全面防范Web应用漏洞
- **信息收集**:介绍了一系列的信息收集技术,如使用蜘蛛、机器人(OWASP-IG-001)、搜索引擎发现(OWASP-IG-002)、应用入口识别(OWASP-IG-003),以及应用指纹测试OWASP-IG-004)等。 - **配置管理测试**:...
OWASP测试指南:3.0全面详解与渗透测试方法
涵盖了信息收集的多个方面,如使用蜘蛛、机器人进行网站内容抓取(OWASP-IG-001),通过搜索引擎侦查应用漏洞(OWASP-IG-002),识别应用入口点(OWASP-IG-003),执行应用指纹测试以识别系统特性(OWASP-IG-004),...
OWASP 3.0应用测试指南:全面渗透与安全需求解析
例如,信息收集阶段包括通过蜘蛛、机器人和爬虫进行的测试OWASP-IG-001),搜索引擎发现/侦查(OWASP-IG-002),以及应用入口识别(OWASP-IG-003)。此外,还涵盖错误代码分析(OWASP-IG-006)、SSL/TLS安全...
OWASP测试指南V3:打造安全应用的关键步骤与实践
例如,4.1介绍WEB应用渗透测试,包括信息收集阶段的多种测试方法,如利用搜索引擎侦查(OWASP-IG-002)、应用入口识别(OWASP-IG-003)、错误代码分析(OWASP-IG-006)等。 此外,还有专门针对配置管理的测试,如...
OWASP-CM-001
tingirl的专栏
01-22 2895
Configuration Management Testing 配置管理测试 配置管理测试包括:源代码、HTTP准许、认证方法和基础设施的配置等CM一共有8个测试项。 OWASP-CM-001 SSL/TLS测试 即使使用高加密口令,一些错误的配置仍然可以导致使用弱口令也可以访问。
关于OWASP TESTING GUIDE
tingirl的专栏
01-27 778
今天一早收邮件,哈哈,guide V3的中文版已经出来了,就不用我辛辛苦苦的去翻译了。虽然大概看了看,翻译的不是很好,但是也很够用了。 链接:http://www.owasp.org/images/0/06/OWASP%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97%28%E4%B8%AD%E6%96%87%EF%BC%89.pdf 接下来关于这部分
OWASP-CM-002
tingirl的专栏
01-25 748
DB Listener Testing (OWASP-CM-002)数据库监听器测试 数据库的监听器是一个网络守护进程。它等待从远程客户端发起的连接请求。这个守护进程可以受到影响,从而影响到数据库的可用性。对于一个Oracle数据库来说,数据监听器就是一个远程连接的接入点。它侦听连接请求,并做出相应处理。如果测试人员可以访问这个服务,这个测试是可能的。测试
OWASP-CM-004
tingirl的专栏
01-25 728
Application configuration management testing (OWASP-CM-004)应用配置管理测试 应用结构中的任何元素的正确配置都是重要的,因为这可以阻止可能危害整个架构安全的错误。配置审查和测试在创造和维护应用结构的过程中是一个关键任务,因为如果对不同的系统使用通用配置,拿这些通用配置可能不适用于特定的网站。
OWASP-CM-005
tingirl的专栏
01-26 689
Testing for File extensions handling (OWASP-CM-005)文件后缀管理测试    Brief Summary 概述  另外,错误的配置可能使得关于访问控制的完整信息暴露给攻击者。 标准的文件后缀使得渗透者获得关于这一文件的技术的有用
OWASP-CM-003
tingirl的专栏
01-25 686
 Infrastructure configuration management testing (OWASP-CM-003) 基础设施配置管理测试(个人觉得这个说法有点不妥,反正差不多这个意思吧) 具有巨大内在复杂性和异构互联的网络设备实施配置,可以承载数百个web应用,检查每一个单一应用。事实上,单一脆弱点可能导致整个架构的安全问题。为了
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值