Web渗透测试概述及常见web安全漏洞

最新推荐文章于 2024-04-20 17:11:47 发布
最新推荐文章于 2024-04-20 17:11:47 发布
阅读量1.3k 收藏 4
点赞数 2
分类专栏: 渗透测试 软件测试基础 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44773193/article/details/105392264
版权

一、web渗透测试概述

  • 安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络安全的一种评估方法。
  • Web渗透测试——只针对web应用的渗透测试。

二、常见web安全漏洞

  • sql注入(输入):危害是所有漏洞中危害最大的。输入的参数没有进行处理,直接到sql的拼接中查询语句,在整个过程中没有进行判断,从而导致用户想写什么语句都可以在后台拼接到语句中,然后窃取到后台数据。
    在这里插入图片描述
  • 目录穿越(输出):代码层面上没有进行url传入的路径进行判断,导致可以直接穿越到系统目录下,可以直接读取系统目录中的配置文件,例如:user文件、password文件。读取之后,返回的结果没有进行判断,从而直接输入到客户端,导致相关配置文件内容泄漏。
  • 业务逻辑缺陷:修改密码,后台应该验证用户名是否存在,然后旧密码是否存在,用户名和旧密码都正确才可以进行修改新密码。
  • 基础环境漏洞:开发框架出现漏洞。

三、渗透测试的思路

1、黑客攻击思路:

  • 信息收集——攻击测试——提升权限——扩大成果(内网漫游)——清除痕迹

2、渗透测试思路:

  • 信息收集——攻击测试
佳期如顭
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web渗透测试(整个全流程).pdf
11-25
web渗透测试的整个流程详解,并带有各个工具推荐 真的非常的详细,可以带初学者快速入门,已经从事web渗透测试的也可以参考 内容:信息收集,洞扫描,渗透测试等里面详细的步骤 可以按照步骤一步步的操作,非常具有实操价价值
WEB渗透学习-upload-labs靶场
04-20
在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传洞设计的平台,它提供了21个关卡,从基础到高级,帮助新手逐步提升对这类洞的...
web安全测试概述
chenmaoyin1482的博客
08-16 295
一、关于安全 1、安全问题的根源: 1)、分层思想,这个分层包括网络分层和软件分层等,分层可以将大的问题划分为不同的层次,层次与层次之间通过一定的接口标准进行信息交换,从而将一个大问题拆分开来由不同层次的模块去实现扩展。 从功能实现的角度看,分层是很方便高效的。 从系统安全的角...
超实用!手把手教你如何3步进行Web渗透测试!_手工渗透测试
最新发布
2301_77121488的博客
04-20 609
渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和洞发现技术,对目标网络、主机、应用的安全作深入的探测,发现系统最脆弱的环节。如果说安全检测是"横向地毯式自动化扫描",那么渗透测试就是"纵向深度人工化入侵"。可见渗透测试的目的是发现目标系统潜在的业务洞风险。安全问题都体现在输入输出的问题上,能够分析数据流就有迹可循了。先知道渗透测试的流程,用工具找到洞,了解并且复现它。
Web渗透测试实战——(1)Web渗透测试简介
重在分享
02-10 9259
渗透测试实战_Web渗透测试简介 ·什么是渗透测试·渗透测试类型·渗透测试阶段1. 信息收集与侦查2. 枚举3. 洞评估与分析4. 洞利用5. 报告功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 ·什么是渗透测试 渗透测试(p
渗透测试-web安全web安全概述
harry_c的博客
10-07 435
渗透测试-web安全web安全概述WEB基本执行流浏览器是如何找到对应的站点呢? WEB基本执行流 用户–>输入查询内容–>浏览器进行处理解析–>向服务器发送求–>进行数据库、服务器数据交互–>数据回传到前端–>给予用户展示 其中我们将浏览器用户等设计到的层面定义为客户端(又称前端)、将服务器等数据交互层面定义为服务端(又称后端) 而针对前端常见的we...
浅谈Web渗透测试
m0_60571990的博客
02-23 628
浅谈Web渗透测试
web常见洞思维导图.rar
03-04
"web常见洞思维导图.rar"这个压缩包文件提供了对这些洞的系统性概述,涵盖了洞的原理和利用方式,这对于渗透测试和网络安全防护具有极大的价值。下面将详细阐述其中涉及的知识点。 首先,Web常见洞主要包括...
第一章 Web安全概述1
08-03
* 维护商业信誉:Web安全漏洞可能会影响企业的商业信誉,导致客户信任度下降。 2. Web安全威胁 Web安全面临的威胁来自于多方面,包括: * 黑客攻击:黑客可能会使用各种手段攻击Web应用程序,例如SQL注入、跨站...
Web渗透测试信息收集技术研究.pdf
11-06
本文概述Web应用的安全形势,分析了Web渗透测试原理、测试流程,并重点分析Web渗透测试信息收集技术。 Web渗透测试是指以攻击者的思维检查和审核信息网络系统安全的一个过程。网络安全工作人员从攻击者的角度出发...
WEB常见攻击与渗透测试
06-06
WEB常见攻击与渗透测试
web安全学习总结
qq_36386435的博客
02-12 793
本博客内容是看看雪论坛上的教程总结而来: Web安全 前提:环境安装 DVWA下载地址:https://github.com/ethicalhack3r/DVWA Phpstudy下载地址:http://phpstudy.php.cn 操作方法: 安装好win7的虚拟机,其他操作系统都可以,我安的是windows7, 下载phpstudy和DVWA上传到虚拟机中; 第一步:运行phpstud...
WEB安全学习总结与心得(六)——XSS
weixin_44681434的博客
05-05 1086
WEB安全学习总结与心得(六) 01 XSS洞之简介 属性 属性 介绍 英文全称 Cross Site Script 中文全称 跨站脚本 缩写 XSS 危害 盗取用户信息,钓鱼,制造蠕虫 类型 存储型,反射型,DOM型 洞类型 客户端洞 名字由来 由于CSS已经被层叠样式表(Cascading Style Sheets)占用了,于是业内人士就换了一个...
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.求响应报文的格式8.求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
[web安全]Web应用洞攻击分析与防范
dfdhxb995397的博客
11-04 234
网站攻击主要分为以下几类:  (1) sql注入攻击  SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图...
web安全防范之XSS洞攻击
heihei_100的博客
06-20 466
XSS简单入门最常见的XSS攻击方法就是利用邮件:犯罪分子在一个普通的URL网址中添加一些特殊字符,例如添加几个外文字符。这些字符会适时地告知运行事先制作好的脚本的Web服务器,举例来说,一个攻击者给你的网上银行的网址中添加了这样一个脚本,然后发邮件给你。假如你相信这是来自你的网上银行的合法邮件,然后点击了邮件提供的链接地址,那么你的浏览器就会给那台Web服务器发送该脚本,这台服务器上所运行的恶意...
网络安全知识之渗透测试介绍
fly_enum的博客
06-08 2159
渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!
常见Web安全漏洞深入解析
大河之犬的博客
10-19 4225
在存在可跨站脚本攻击安全漏洞Web应用上执行上面这段JavaScript程序,即可访问到该Web应用所处域名下的Cookie信息。Web应用中的邮件发送功能,攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击。并排插入字符串后发送。利用这两个连续的换行就可作出HTTP首部与主体分隔所需的空行了,这样就能显示伪造的主体,达到攻击目的。远程文件包含洞是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。
网络安全Web安全渗透测试笔试总结(一)
07-19
以上是笔试中涉及的面试题目,对网络安全Web安全渗透测试等相关的常见知识进行了涵盖和总结。这些题目涵盖了网络安全的基础知识、洞利用、攻击手段和防御技术等方面内容。同时,这些题目也对应聘者的知识储备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值