Web應用滲透測試完全指南(駭客/黑客 軟體)

資料來源: https://mp.weixin.qq.com/s/Vxx2cdU-5NBn_TAVFLi-PQ

Web 滲透測試人員通常會做的事情

    ◆遍曆 Web 應用目錄和 Web 伺服器;

    ◆判斷靶標應用及其使用的技術實現（伺服器、技術框架）和程式設計語言;

    ◆使用 Burp Suite 或 Acunetix 等工具進行手動滲透測試，以發現客戶端代碼（例如 Javascript、Flash 物件等）的漏洞;

    ◆使用 Netsparker 或 HP Web Inspect 等自動化工具掃描並識別 Web 伺服器和相關技術框架中的已知漏洞。 滲透測試人員在手動測試階段發現的 Web 應用漏洞，也可以使用自動化工具進行攻擊利用;
    

Web 應用滲透測試工具

    有許多開源和商業的 Web 應用安全評估工具可以使用，例如：

        ◆Acunetix WVS/WVS11;

        ◆Netsparker Web Scanner;

        ◆IBM Rational Appscan Standard Edition;

        ◆HP Web Inspect Professional;

        ◆Paros Proxy etc.

    相較於自動化技術，手動執行 Web 應用滲透測試任務依然是很好的選擇，因為它可以在測試時提供更大的靈活性。 手動執行 Web 應用安全評估包含多個步驟，根據你的測試目的（例如利用漏洞），這些步驟能夠涵蓋從資訊收集到漏洞利用的全流程範圍。