一、简介
1.web渗透测试概述
渗透测试:模拟恶意黑客的攻击方法,来评估计算机 络系统安全的一种评估方法。
web渗透测试:只针对web应用的渗透测试
2.常见web安全漏洞
黑客攻击的思路:
信息收集(比如 站的开发者习惯的程序书写,习惯的程序错误等)–攻击测试(常见的漏洞测试)–提升权限(admin权限或者user权限)–扩大成果(内 漫游)–清除痕迹
2.谷歌黑语法
使用举例:
3.burpsuite安装及其使用(简介)
burpsuite常用功能:
1.拦截(拦截浏览器发送来的数据包)
2.抓包(抓到拦截过来的数据包)
3.改包(修改数据包里面的参数和内容)
4.重放(把修改好的数据包再发送给服务器)
注意:因为burpsuite是使用java开发的,所以使用时候要先安装JDK(版本最好在1.8以上)
打开本机的命令行窗口,输入 java -version,查看自己的jdk版本。
使用:
1.代理服务器配置
3.拦截数据包
4.重放,action选择【send to repeater】
验证码越来越复杂,为了区别机器和人工。
一般通过短信方式的验证码,被暴破解的几率比较小。
5.暴力破解
存在暴力破解的特点:
登录数据包不存在验证码,token等一次性验证。
例子:使用burpsuite模拟进行暴力破解操作:
MIME是什么p>
MIME(Multipurpose Internet Mail Extensions)多用途互联 邮件扩展类型。
文章知识点与官方知识档案匹配,可进一步学习相关知识Python入门技能树首页概览215678 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!