一、簡介
1.web滲透測試概述
滲透測試:模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。
web滲透測試:只針對web應用的滲透測試
2.常見web安全漏洞
1.輸入輸出驗證不充分:sql注入、xss、csrf、目錄穿越、文件上傳、代碼注入、命令注入、信息漏洞、暴力破解
2.設計缺陷:越權漏洞、非授權對象引用、業務邏輯缺陷(用戶名修改、忘記密碼)
3.環境缺陷:框架漏洞(第三方插件)、基礎環境漏洞
3.滲透測試思路
黑客攻擊的思路:
信息收集(比如網站的開發者習慣的程序書寫,習慣的程序錯誤等)--攻擊測試(常見的漏洞測試)--提升權限(admin權限或者user權限)--擴大成果(內網漫遊)--清除痕跡
滲透測試思路:發現漏洞
信息收集(把 網站中的內容全部進行收集)-攻擊測試(驗證網站是否存在某方面的安全漏洞,如果存在則提交給研發人員)
二、暴力破解的介紹
1.暴力破解概述
2.谷歌黑語法
常見搜索方法:
inurl:搜索URL網址中包含的指點字符串
intitle:搜索網頁中的標題名中是否包含指定字
intext:搜索網頁正文內容中的指定字符
使用舉例:
3.burpsuite安裝及其使用(簡介)
burpsuite常用功能:
1.攔截(攔截瀏覽器發送來的數據包)
2.抓包(抓到攔截過來的數據包)
3.改包(修改數據包裏面的參數和內容)
4.重放(把修改好的數據包再發送給服務器)
注意:因爲burpsuite是使用java開發的,所以使用時候要先安裝JDK(版本最好在1.8以上)
打開本機的命令行窗口,輸入 java -version,查看自己的jdk版本。
burpsuite官方下載地址:https://portswigger.net/burp/
此處下載的是BurpSuite Community版本,Enterprise版和Professional版需要企業郵箱註冊纔可以得到下載地址和一個月期限的license key。
使用:
1.代理服務器配置
2.火狐瀏覽器插件配置proxy
3.攔截數據包
4.重放,action選擇【send to repeater】
4.不同驗證碼的講解
驗證碼越來越複雜,爲了區別機器和人工。
一般通過短信方式的驗證碼,被暴破解的機率比較小。
5.暴力破解
存在暴力破解的特點:
登錄數據包不存在驗證碼,token等一次性驗證。
例子:使用burpsuite模擬進行暴力破解操作:
三、一句話木馬
1.上傳漏洞
一句話木馬:
MIME是什麼?
MIME(Multipurpose Internet Mail Extensions)多用途互聯網郵件擴展類型。
四、漏洞補丁補寫
1.防止暴力破解修復方案
1.添加驗證碼:防止機器對用戶名和密碼進行暴破
2.添加token:後臺服務器傳過來一長串隨機的驗證碼,驗證碼傳給前臺,前臺登錄每次會將這個token信息傳遞到後臺,效果同驗證碼。