web滲透測試簡介
滲透測試沒用具體的定義,通常是指通過模擬黑客惡意的攻擊方法,來評估計算機網絡系統安全的一種評估方法。常見的滲透測試有App滲透測試,內網滲透測試,而Web滲透測試只是針對Web應用的滲透測試。
常見Web安全漏洞
常見的web安全漏洞如下圖所示
1.輸入輸出驗證:
由於用戶的輸入不合規或者具有攻擊性的語句造成代碼出錯,或者不能執行預期的目標,從而導致web應用方面的漏洞。
2.系統設計缺陷:
編碼邏輯上的處理不當造成的缺陷引發的漏洞。
3.環境缺陷:
應用程序在引用第三方的框架或者庫之類的代碼,這些第三方的程序隨着時間的積累不去更新維護的話會產生一些漏洞。
滲透測試思路
1.信息收集。
2.攻擊測試。
3.提升權限。
4.攻擊測試。
滲透方法
1.暴力破解
2.谷歌黑語法