一.常用术语常用术语包括:
脚本(asp、php、jsp):编写网站的语言
html(css、js、html):超文本标记语言,解释给浏览器的静态编程语言
HTTP/HTTPS协议:通讯标准,明文或密文
CMS(B/S):网站内容管理系统,常见的比如Discuz、DedeCMS、wordPress/ target=_blank class=infotextkey>WordPress等,针对CMS漏洞进行渗透测试
MD5: 加密算法,得到加密后的hash值
肉鸡、抓鸡、跳板:被控制的电脑称为肉鸡,控制过程叫抓鸡;如果直接攻击会暴露IP,此时通过已经拿下的电脑进行攻击,则称为跳板
一句话、小马、大马:比如 <?php eval($_POST[eastmount]); ?>,本身一句话木马是没有危害的,它通过预处理全局变量来执行POST参数
webshell、提权、后门:网站后门可称为webshell
源码打包、脱裤:源码打包和数据库脱裤都是常见的手段,但无法脱裤一定不去执行
嗅探、扫描、注入、上传、提权、rookit
0day、1day、nday
代码审计
安全分享及漏洞库网站推荐:
文章插图
安全测试集相关网站推荐:
文章插图
在线分析或沙箱平台推荐:
文章插图
安全技术会议推荐:
文章插图
安全学术会议推荐:
文章插图
二.渗透测试流程OWASP top 10 测试标准是安全招聘的常见问题,也是渗透测试的经典标准,详见参考文献2 。
OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识 。
注入injection:将不安全的命令发送给解析器,产生类似于SQL注入、NoSQL注入、OS注入和LDAP注入的缺陷 。攻击者可以构造恶意数据通过注入缺陷的解析器执行没有权限的非预期命令或访问数据 。
失效的身份认证:通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者暂时或永久的冒充其他用户的身份 。
敏感数据泄露:通常敏感信息包括密码、财务数据、医疗数据等,由于Web应用或API未加密或不正确的保护敏感数据,这些数据极易遭到攻击者利用 。由于未加密的信息极易遭到破坏和利用,因此我们应该加强对敏感数据的保护,Web应用应该在传输数据、存储数据以及浏览器交互数据时进行加密,保证数据安全 。
外部实体 XXE:XXE全称为XML External Entity attack,即XML外部实体注入攻击,早期或配置错误的XML处理器评估了XML文件外部实体引用,攻击者可以利用这个漏洞窃取URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击 。
失效的访问控制:通过身份验证的用户,可以访问其他用户的相关信息 。攻击者可以利用这个漏洞去查看未授权的功能和数据,如访问用户的账户、敏感文件、获取和正常用户相同的权限等 。
安全配置错误:安全配置错误是比较常见的漏洞,由于操作者的不当配置,导致攻击者可以利用这些配置获取更高的权限,安全配置错误可以发生在各个层面,包含平台、web服务器、应用服务器、数据库、架构和代码 。
跨站脚本攻击 XSS:当应用程序的网页中包含不受信任的、未经恰当验证、转义的数据,或使用HTML、JAVAScript的浏览器API更新现有网页时,就会出现XSS漏洞,跨站脚本攻击是最普遍的Web应用安全漏洞,甚至在某些安全平台都存在XSS漏洞 。它会执行攻击者在浏览器中的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用XSS甚至可以执行拒绝服务攻击 。
不安全的反序列化:它可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击 。
使用含有已知漏洞的组件:组件(如库、框架或软件模块)拥有应用程序相同的权限,如果应用程序中含有已知漏洞,攻击者可以利用漏洞获取数据或接管服务器 。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果 。
推荐阅读
- 聊天场景在web前端开发中的体验与优化
- phpmyadmin渗透思路整理
- 淘宝开店流程及费用标准多少 开淘宝店需要什么条件多少钱
- 如何在机场领取登机牌?第一次坐飞机登机流程
- 茶叶冲泡流程步骤先容,红茶冲泡品饮先容
- 内网渗透测试——端口转发与内网代理渗透测试实验报告
- Web漏洞扫描神器Nikto使用指南
- 开淘宝店需要怎么做 如何在淘宝开店流程
- 云waf 推荐几款免费的web应用防火墙
- 不改一行代码,让你的web应用支持https协议
![[德斯]82284.6欧元起售 新款梅赛德斯-AMG E级开启预定](https://k-static.6789.com/uploads/auto-pic/202007/07/1594089939_69902300.jpg)
