首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

渗透测试:Web+Python 应用

点击上方软件测试资源站关注,置顶公众号

重要测试资料包,不容错过

————

Web应用渗透测试简介

Web渗透测试流程

典型的Web应用工具包

测试环境

Web渗透测试流程

在本节中,我们将了解Web应用程序渗透测试是什么。

渗透测试是一种从攻击者的角度评估应用程序安全性的安全性测试。

目标是识别缺陷并演示如何利用它们攻击,以及对公司的影响。最后,报告将提供解决方案。这是手册和动态测试。手册意味着它在很大程度上取决于测试者的知识,所以学习如何编写自己的渗透测试工具很重要,会让您在职业生涯中占据优势。

动态测试是测试则是和静态分析相对应,对运行的程序进行测试。

EMC的报告报告每家公司的年度财务损失为497,037美元的停机时间,860,273美元的安全漏洞和585,892美元的数据丢失。另外用于事件响应和修复,测试和部署的成本。

IBM也提供了类似的分析报告

渗透测试将有助于公司保护他们的客户的数据,知识产权和服务。渗透测试四个主要部分如下:

侦察:收集信息,比如使用的技术,支持应用程序的基础设施,软件配置,负载平衡等。这个阶段也称为指纹识别。

映射:构建应用程序页面和功能的映射或图表。目标是确定组件及其关系。此时需要使用爬虫技术,并通过执行暴力攻击来发现非关联资源。

漏洞:漏洞发现。

利用:利用漏洞,尝试进入其内部网络段。

报告

形式有灰盒、白盒、黑盒。黑盒没有关于目标的任何信息。白盒测试时客户向我们提供文档,源代码和

配置,灰盒子介于两者之间,客户提供的资料未必完整。

重要的内容:

配置和部署管理测试

身份管理测试

认证测试

授权测试

会话管理测试

输入验证

测试错误处理

加密

业务逻辑测试

客户端测试

那么,为什么要建立自己的工具呢? Web应用程序使用多种技术,组合,流程和实现。没有工具可以涵盖所有场景。

典型的Web应用工具包

HTTP代理

最重要的工具是HTTP代理。它允许您拦截浏览器和服务器之间的双向所有通信,即man-in-the-middle代理。它让我们了解应用程序的工作原理,允许拦截请求,响应和修改。

通常,代理将与浏览器在同一机器。安全专业人员使用最多的HTTP代理来自PortSwigger安全的Burp Suite和Zed攻击代理ZAP。

命令行代理MITM(python)很适合构建工具或自动化某些场景。

爬虫和蜘蛛

爬虫和蜘蛛用于映射Web应用程序,自动执行分类。该工具会自动抓取应用的所有链接,提交表单,分析

新内容的回复。

独立的爬虫和蜘蛛,如Scrapy(python); 命令行工具如httrack。爬虫和代理可以更好的结合:比如传统的抓取工具不会解释JS,但浏览器会解释。所以代理将看到它并将其添加到爬虫目录。

漏洞扫描程序

最常用的开放源Web应用程序安全扫描程序是w3af(python),Arachni(ruby)。

商业的,如Acunetix性价比比较高。

暴力资源定位器

用于通过字典攻击查找文件、目录、servlet和参数等内容,,servlet或的参数。这些工具使用的单词列表为安全专业人员近10年的累积,其中包含不同的产品或Web应用程序的文件名目录或单词。

先驱工具是DIRB,仍由Dark Raver提供和维护。另一个很好的选择

是Wfuzz。

Burp和ZAP等工具提供了这些功能。所有工具受益于单词列表,比如FUZZDB提供的(https://github.com/fuzzdb-project)。

哈希,Base 64,MD5,SHA1和Unicode等。

利用漏洞工具:如SQL注入器如SQL map,XSS控制台如Beef来演示XSS和DOM XSS,Dominator等扫描工具等等。

其他工具,比如控制服务器,上传文件,Shell,代理内容到内部网络,并在内部扩展您的攻击。

作者:西边人

头条号:请搜索(马蚁蛋)

公众号:软件测试资源站(ID:testpu)

关注后私信回复 入群,加入自学社群联盟。

END

下面可以直接复制添加微信群和QQ群

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180707A1EOQG00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券