2020-12-21 10:15发布
1.渗透目标
渗透网站(这里指定为www.xxx.com)
切记,在渗透之前要签订协议。
2.信息收集
建议手动检查和扫描器选择同时进行。
2.1 网站常规检测(手动)
1:浏览www.xxx.com
1. 初步确定网站的类型:例如银行,医院,政府等。
2. 查看网站功能模,比如是否有论坛,邮箱等。
3. 重点记录网站所有的输入点(与数据库交互的页面),比如用户登录,用户注册,留言板等。4. 重点查看网站是否用到了一些通用的模板,比如论坛选择了动网(dvbss),就有可能存在动网的漏洞;邮箱有可能选择通用的邮箱系统,也有漏洞。
2: 分析网站的url1. 利用搜索引擎,搜索网站的url,快速找到网站的动态页面。
2. 对网站的域名进行反查,查看IP,确定服务器上的域名数,如果主页面url检测没有漏洞,可以对其他的域名进行检测。
3:审查代码
重点对输入代码(比如表单)进行分析,看如何来提交输入,客户端做了哪些输入的限制方法。
1. 隐藏表单字段 hidden
2. Username,Password等
4:控件分析
Active x 通常都是用c/c++编写
在页面上(通常是首页)的源码中搜索
1. 需要ComRaider+OD 对dll文件进行反编译,看是否有漏洞。
2. 改变程序执行的路径,破坏Active X 实施的输入确认,看web的回应。
5:对常规的输入进行手动注入测试,测试是否有sql注入和跨站漏洞,试用常规的用户名和密码登录。
6:查看web服务器的版本,确定搜索是否有低版本服务器组件和框架的漏洞,比如通用的Java框架Struct2的漏洞。
就是找web程序的漏洞,入侵指定的web系统,进行web安全的评估
1、负责对客户网络、系统进行安全评估和安全加固;
2、负责对客户的应用系统进行渗透测试和代码审计;
3、在出现网络攻击或安全事件时,提供紧急响应服务,帮助用户恢复系统及调查取证。
主要是做:
1、负责渗透测试技术服务实施,编写渗透测试报告;
2、负责渗透测试技术交流、培训;
3、负责代码审计、漏洞检测与验证、漏洞挖掘;
4、负责最新渗透测试技术学习、研究。
应聘这样的职位有一定的职业要求:
1、熟悉交换路由等网络协议、熟悉ACL、NAT等技术、熟悉网络产品配置和工作原理;熟悉LINUX、AIX等操作系统安全配置;熟悉ORACLE、MSSQL、MYSQL等数据库安全配置;熟悉WEB、FTP、邮件等应用安全配置;
2、能熟练使用各类渗透测试工具,熟悉手工注入、上传、中间人攻击测试、业务逻辑漏洞测试;
3、熟悉HTML、XML、ASP、PHP、JSP等脚本语言,会使用C/C++、JAVA、.net、PYTHON等进行程序开发;
4、熟悉木马、后门技术、SHELLCODE技术、免杀技术、密码破解技术、漏洞挖掘技术、远程控制技术等。
渗透,说白了就是想做网安,更白了就是想做黑客。然而,一个优秀的黑客必定是一个优秀的程序员,否则只能称作脚本小子而已。 一个黑客对于知识的广度和深度都要有,要广泛掌握各种编程语言,C,C++,PHP,Java,Python,SQL,HTTP,JavaScript等。要广泛...
网络基础IP协议UDP协议TCP协议TCP三次握手、四次挥手简述滑动窗口协议HTTPHTTPSHTTP劫持HTTPS和HTTP的区别DNS域名解析
渗透有两种意思,一种和入侵一样——指黑客通过非法途径入侵网站系统;另一种是指模拟黑客攻击对业务系统进行的安全性测试。下面提到的渗透都是第二种意思~入侵和渗透在操作上类似,但是本质确不同。入侵是以破坏或者盗取信息为目的,渗透是为了发现漏洞修复...
还有安全评估,安全运维等
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','/static/images/logo.png', '推荐 余生浅末 的问题《【web安全】web渗透可以干什么》','http://www.shouhuola.com/q-32008.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
1.渗透目标
渗透网站(这里指定为www.xxx.com)
切记,在渗透之前要签订协议。
2.信息收集
建议手动检查和扫描器选择同时进行。
2.1 网站常规检测(手动)
1:浏览www.xxx.com
1. 初步确定网站的类型:例如银行,医院,政府等。
2. 查看网站功能模,比如是否有论坛,邮箱等。
3. 重点记录网站所有的输入点(与数据库交互的页面),比如用户登录,用户注册,留言板等。4. 重点查看网站是否用到了一些通用的模板,比如论坛选择了动网(dvbss),就有可能存在动网的漏洞;邮箱有可能选择通用的邮箱系统,也有漏洞。
2: 分析网站的url1. 利用搜索引擎,搜索网站的url,快速找到网站的动态页面。
2. 对网站的域名进行反查,查看IP,确定服务器上的域名数,如果主页面url检测没有漏洞,可以对其他的域名进行检测。
3:审查代码
重点对输入代码(比如表单)进行分析,看如何来提交输入,客户端做了哪些输入的限制方法。
1. 隐藏表单字段 hidden
2. Username,Password等
4:控件分析
Active x 通常都是用c/c++编写
在页面上(通常是首页)的源码中搜索
1. 需要ComRaider+OD 对dll文件进行反编译,看是否有漏洞。
2. 改变程序执行的路径,破坏Active X 实施的输入确认,看web的回应。
5:对常规的输入进行手动注入测试,测试是否有sql注入和跨站漏洞,试用常规的用户名和密码登录。
6:查看web服务器的版本,确定搜索是否有低版本服务器组件和框架的漏洞,比如通用的Java框架Struct2的漏洞。
1、负责对客户网络、系统进行安全评估和安全加固;
2、负责对客户的应用系统进行渗透测试和代码审计;
3、在出现网络攻击或安全事件时,提供紧急响应服务,帮助用户恢复系统及调查取证。
就是找web程序的漏洞,入侵指定的web系统,进行web安全的评估
主要是做:
1、负责渗透测试技术服务实施,编写渗透测试报告;
2、负责渗透测试技术交流、培训;
3、负责代码审计、漏洞检测与验证、漏洞挖掘;
4、负责最新渗透测试技术学习、研究。
应聘这样的职位有一定的职业要求:
1、熟悉交换路由等网络协议、熟悉ACL、NAT等技术、熟悉网络产品配置和工作原理;熟悉LINUX、AIX等操作系统安全配置;熟悉ORACLE、MSSQL、MYSQL等数据库安全配置;熟悉WEB、FTP、邮件等应用安全配置;
2、能熟练使用各类渗透测试工具,熟悉手工注入、上传、中间人攻击测试、业务逻辑漏洞测试;
3、熟悉HTML、XML、ASP、PHP、JSP等脚本语言,会使用C/C++、JAVA、.net、PYTHON等进行程序开发;
4、熟悉木马、后门技术、SHELLCODE技术、免杀技术、密码破解技术、漏洞挖掘技术、远程控制技术等。
相关问题推荐
渗透,说白了就是想做网安,更白了就是想做黑客。然而,一个优秀的黑客必定是一个优秀的程序员,否则只能称作脚本小子而已。 一个黑客对于知识的广度和深度都要有,要广泛掌握各种编程语言,C,C++,PHP,Java,Python,SQL,HTTP,JavaScript等。要广泛...
网络基础IP协议UDP协议TCP协议TCP三次握手、四次挥手简述滑动窗口协议HTTPHTTPSHTTP劫持HTTPS和HTTP的区别DNS域名解析
渗透有两种意思,一种和入侵一样——指黑客通过非法途径入侵网站系统;另一种是指模拟黑客攻击对业务系统进行的安全性测试。下面提到的渗透都是第二种意思~入侵和渗透在操作上类似,但是本质确不同。入侵是以破坏或者盗取信息为目的,渗透是为了发现漏洞修复...
还有安全评估,安全运维等