【安全測試自學】初識安全測試（一）

 

 

 

 

學習資料：

安全測試專家成長系列之-初探Web安全1.mp4

 

（1）初始安全測試的各種安全問題

（2）安全事件案例集

（3）安全測試的將來

（4）總結和討論

---

 

 

1、什麼是安全測試？？

就是Hack！

白帽子：不違反法律，利用本身的安全技術去作一些事情，合理合法，並幫助廠商去維修。

黑帽子：違反法律去作一些安全方面的事情。

灰帽子：熊貓燒香的做者

綠帽子：

咱們的目標就是：白帽子。

U推薦的書：白帽子講Web安全

 

 2、常見的安全問題：OWASP組織

 開放式Web應用程序安全項目（OWASP）

 

十大高危漏洞 ：

 

3、WEB安全問題分類：

4、部分黑客經常使用名詞解釋：

脫褲子：就是SQL注入

盲打：XSS跨站，用戶的cookie，而後用cooike登陸

webshell：管理網站的木馬

釣魚：

肉雞：電腦中木馬後，被木馬的電腦就是肉雞

跳板：攻擊某一個網站，會留下一個ip。而後先攻擊一個電腦，獲取IP，而後經過中間的Ip去攻擊目標的另外一個電腦。這中間電腦就是跳板。

登陸劫持：

0Day：未公佈出來的安全問題。

 

02：安全事件案例集=安全深透

（1）SQL注入：高危漏洞

     改造原來的SQL語句。

    危害：

     （1）數據泄露

     （2）權限繞過：不用帳號就能登陸

     （3）網站淪陷

     （4）其餘

     分析原理1：

     

   分析原理2：越過登陸，直接進入管理頁面，萬能鑰匙 。

 

    案例1：

    多玩的參數後面加單引號'，同時能夠得到到服務器的數據庫等地址等。

   

   案例2：

    

    

 案例3：盛大webshell網站木馬，獲取到整個網站的信息等。

    其餘SQL注入案例：

     

 

 （2）xss跨站：跨站腳本攻擊

   危害：

      cookie的竊取，掛木馬，病毒，暗鏈，釣魚，點擊劫持，登陸劫持，蠕蟲攻擊，後臺淪陷

   

  案例4：

   

 

 

（3）CSRF跨站請求僞造

（4）跨域跳轉

（5）上傳漏洞