web滲透測試介紹

1、滲透測試定義：1.滲透測試是經過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。

2、滲透工程師須要掌握的技能：1.程序員的思惟和編碼能力。

                                                       2.惡意攻擊者的思路和方法。

3、滲透測試的目標：一、主機操做系統滲透對Windows、AIX、Linux、Unix等操做系統自己進行滲透測試。

                                    二、數據庫系統滲透對Oracle、MySQL、DB2等 數據庫應用系統進行滲透測試。

 

                                    三、應用系統滲透對滲透目標提供的各類應用，如ASP、CGI、JSP、PHP等組成的WWW應用進行滲透測試。

 

                                    四、網絡設備滲透對各類防火牆ips、ids， 入侵檢測系統、網絡設備進行滲透測試。

 

4、web滲透步驟： 1.信息收集

                                2.整站映射

                                3.漏洞掃描

                                4.測試報告

 

5、web經常使用滲透工具：

       HTTP代理：1.介於瀏覽器和服務器之間的橋樑，經常使用工具burpsuit，fiddler等等

       網站爬蟲：   2.對web，app測試是對整個網站進行測試，經常使用工具：zap,burpsuit,httrack等等

                            3.python工具：scrapy

        web漏洞掃描：1.針對web app技術漏洞掃描

                                 2.經常使用工具：appscan，awvs

                                 3.python:工具w3af

        目錄探測：1.針對web app不連接頁面探測，基於字典的暴力破解

                          2.經常使用工具Dirb，wfuzz