概述

什麼是web滲透呢？

通俗的來講可以這麼定義：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網路系統安全的一種評估方法。

常見web安全漏洞

輸入輸出驗證不充分、設計缺陷、環境缺陷、sql注入、xss、csrf、目錄穿越、文件上傳、代碼注入、命令注入、信息泄漏、暴力破解、越權漏洞、非授權對象引用、業務邏輯缺陷、框架漏洞、基礎環境漏洞。

黑客攻擊思路

信息收集--->攻擊測試--->提升許可權-->擴大成果-->清除痕跡

滲透測試思路

信息收集--> 攻擊測試-->修改漏洞

暴力破解

關於暴力破解，我們分為兩種方法給大家講解。

1.Google黑語法

可以分為以下三種：

inurl:搜索URL網址中包含的指點字元串
intitle:搜索網頁中的標題名中是否包含指定字
intext:搜索網頁正文內容中的指定字元

可能到了現在讀者一定非常迷惑，本文章都是一些看不懂的字元，但是沒關係，下面我就來詳細的介紹一下我們到底在做什麼？

首先我們設想我們自己是一個黑客，當然了不妨我們就先假設自己是一個具有破壞力的黑客，專門盜取別的網站的一些內容，包括個人信息等。

對於web程序而言，最好的是能侵入對方的伺服器，可是如何侵入呢？入口在哪裡呢？

入口就在每個網站的後臺登陸頁面，所以看到這裡想必大家也清楚了，我們就是要找到網站的後臺登陸頁面，來進行深一步的侵入，那麼如何找到網站的後臺呢？

就是以上三個方法。

對於任何搜索引擎而言，在搜索框輸入關鍵字，發給搜索引擎後臺，後臺檢索信息，然後展現給我們頁面，google黑語法就是用來幹這個事情的。

好，我們來深一步的探討如何用上面三個方法，我們以百度為例。

首先打開百度網址,輸入一下信息

inurl:login

不出所料，大家的頁面應該都是一下形式的。

大家看到沒，搜索出來的都是各個網站的登陸系統，每個鏈接點進去毫無疑問都是各個網站的登陸頁面。

以次類推，另外兩種方法都是同樣如此的，可以輸入一下信息查詢

intitle:登陸
intext:登陸

以上兩種方法可以使用中文，小夥伴兒如果覺得第一種方法不太適應，可以嘗試下列兩種方法，都是可以同樣達到搜索出登陸頁面的。

2.Burpsuite

什麼是Burpsuite？

其實就是一種可以進行攔截、抓包、改包、重放的工具。

按照百度百科的解釋為：Burp Suite 是用於攻擊web 應用程序的集成平臺，包含了許多工具。Burp Suite為這些工具設計了許多介面，以加快攻擊應用程序的過程。所有工具都共享一個請求，並能處理對應的HTTP 消息、持久性、認證、代理、日誌、警報。

首先我並不是在打廣告，為什麼這麼說呢，因為對於這個軟體來說，他分為幾個檔次，根據功能劃分，功能多的收費，少的不收費，大家可以下載少的來嘗試使用一下。

下載網址：

https://portswigger.net/

關於這個工具的使用，大家可以自行查找文檔

防止暴力破解的方法

1.添加驗證碼

2.添加token

3.設置robots.txt

關於本文，主要介紹的還是如何進行暴力破解，對於如何防護只是簡單的介紹，後續我會寫文章來講解這部分，這部分內容龐大，可能需要多個文章來講解，大家可以關注本專欄，以後來及時收到新的文章！

推薦閱讀：

相關文章