如何进行Web渗透测试,渗透步骤和方法
2。漏洞发现
在这个阶段,我们应该在测试时将正确的药物应用于病例方法,而不是盲目地扫描。首先要判断目标应用是否使用开源软件、开源框架等,然后进行深度漏洞扫描
关于开源软件的漏洞发现
开源软件:常见的开源软件包括,phpbb等
开源框架:常见的开源框架有2、MVC等
以下软件服务器:常见的中间件服务器有JBoss, 等。
数据库服务:常用数据库服务MSSQL、mysql、redis、DB2等
开源软件测试方法
1通过指纹识别软件确定开源软件的版本信息,根据不同的版本信息在开放的漏洞库中找到对应的漏洞版本进行测试
2默认后台登录页面允许进行简单的暴力破解、数据库服务端口认证等入口默认密码尝试等操作
3 使用开源漏洞发现工具扫描漏洞,如
3。利用
针对不同的漏洞,有不同的利用方法,需要更多的知识点。通常,这个阶段包括两种方式:一种是手动测试,另一种是工具测试
手动测试是一种漏洞检测技术,通过客户端或服务器访问目标服务,手动向目标程序发送特殊数据,包括有效和无效输入,观察目标的状态及其对各种输入的响应,并确定发现问题。手动测试不需要额外的辅助,但可以由测试人员独立完成,实施起来相对简单。但是,这种方法高度依赖测试人员,这需要测试人员更好地理解目标。手动测试适用于需要用户交互的 Web 应用程序、浏览器和其他程序
如果你想学习资料,欢迎私聊加V。
特别声明:以上内容(包括图片或视频)为自媒体平台“网易”用户上传发布方法,本平台仅提供信息存储服务。