web渗透测试简介
渗透测试没用具体的定义,通常是指通过模拟黑客恶意的攻击方法,来评估计算机网络系统安全的一种评估方法。常见的渗透测试有App渗透测试,内网渗透测试,而Web渗透测试只是针对Web应用的渗透测试。
常见Web安全漏洞
常见的web安全漏洞如下图所示
1.输入输出验证:
由于用户的输入不合规或者具有攻击性的语句造成代码出错,或者不能执行预期的目标,从而导致web应用方面的漏洞。
2.系统设计缺陷:
编码逻辑上的处理不当造成的缺陷引发的漏洞。
3.环境缺陷:
应用程序在引用第三方的框架或者库之类的代码,这些第三方的程序随着时间的积累不去更新维护的话会产生一些漏洞。
渗透测试思路
1.信息收集。
2.攻击测试。
3.提升权限。
4.攻击测试。
渗透方法
1.暴力破解
2.谷歌黑语法