web滲透測試入門
概述
什麼是web滲透呢?
通俗的來講可以這麼定義:滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網路系統安全的一種評估方法。
常見web安全漏洞
輸入輸出驗證不充分、設計缺陷、環境缺陷、sql注入、xss、csrf、目錄穿越、文件上傳、代碼注入、命令注入、信息泄漏、暴力破解、越權漏洞、非授權對象引用、業務邏輯缺陷、框架漏洞、基礎環境漏洞。
黑客攻擊思路
信息收集--->攻擊測試--->提升許可權-->擴大成果-->清除痕跡
滲透測試思路
信息收集--> 攻擊測試-->修改漏洞
暴力破解
關於暴力破解,我們分為兩種方法給大家講解。
1.Google黑語法
可以分為以下三種:
inurl:搜索URL網址中包含的指點字元串
intitle:搜索網頁中的標題名中是否包含指定字
intext:搜索網頁正文內容中的指定字元
可能到了現在讀者一定非常迷惑,本文章都是一些看不懂的字元,但是沒關係,下面我就來詳細的介紹一下我們到底在做什麼?
首先我們設想我們自己是一個黑客,當然了不妨我們就先假設自己是一個具有破壞力的黑客,專門盜取別的網站的一些內容,包括個人信息等。
對於web程序而言,最好的是能侵入對方的伺服器,可是如何侵入呢?入口在哪裡呢?
入口就在每個網站的後臺登陸頁面,所以看到這裡想必大家也清楚了,我們就是要找到網站的後臺登陸頁面,來進行深一步的侵入,那麼如何找到網站的後臺呢?
就是以上三個方法。
對於任何搜索引擎而言,在搜索框輸入關鍵字,發給搜索引擎後臺,後臺檢索信息,然後展現給我們頁面,google黑語法就是用來幹這個事情的。
好,我們來深一步的探討如何用上面三個方法,我們以百度為例。
首先打開百度網址,輸入一下信息
inurl:login
不出所料,大家的頁面應該都是一下形式的。