Web應用滲透測試完全指南

Web應用滲透測試完全指南

Web應用滲透測試完全指南(駭客/黑客 軟體)


資料來源: https://mp.weixin.qq.com/s/Vxx2cdU-5NBn_TAVFLi-PQ


Web 滲透測試人員通常會做的事情

    ◆遍曆 Web 應用目錄和 Web 伺服器;

    ◆判斷靶標應用及其使用的技術實現(伺服器、技術框架)和程式設計語言;

    ◆使用 Burp Suite 或 Acunetix 等工具進行手動滲透測試,以發現客戶端代碼(例如 Javascript、Flash 物件等)的漏洞;

    ◆使用 Netsparker 或 HP Web Inspect 等自動化工具掃描並識別 Web 伺服器和相關技術框架中的已知漏洞。 滲透測試人員在手動測試階段發現的 Web 應用漏洞,也可以使用自動化工具進行攻擊利用;
    


Web 應用滲透測試工具


    有許多開源和商業的 Web 應用安全評估工具可以使用,例如:

        ◆Acunetix WVS/WVS11;

        ◆Netsparker Web Scanner;

        ◆IBM Rational Appscan Standard Edition;

        ◆HP Web Inspect Professional;

        ◆Paros Proxy etc.

    相較於自動化技術,手動執行 Web 應用滲透測試任務依然是很好的選擇,因為它可以在測試時提供更大的靈活性。 手動執行 Web 應用安全評估包含多個步驟,根據你的測試目的(例如利用漏洞),這些步驟能夠涵蓋從資訊收集到漏洞利用的全流程範圍。    

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *