安全安全测试

Posted 2020-09-27

1.从Web安全学起

2.安全的核心问题----漏洞（Web漏洞、系统漏洞）

3.黑客技术发展的三个阶段
第一阶段：攻击目标主要是网络、操作系统、软件
第二阶段：攻击目标主要是Web服务器端，典型方法SQL注入
第三阶段：攻击目标主要是客户端，典型方法XSS及CSRF攻击

4.Web渗透的典型流程
判断网站脚本系统（ASP，php等）---判断数据库类型（ACCESS,mysql等）---寻找注入点（可以注入的网页）---猜数据表名（存放网站管理员和密码的表）---猜字段名（存放管理员和密码的字段）---猜用户名和密码---寻找网站后台地址登陆，获得网站管理权限---上传Webshell---提权，获得服务器系统权限---留设后门，清除日志

5.漏洞
Web漏洞：SQL注入漏洞、XSS跨站脚本漏洞、文件上传漏洞、命令执行漏洞
系统漏洞：缓冲区溢出漏洞
网络漏洞：ARP协议漏洞

6.信息安全的学习方向
渗透测试：学习掌握已有的漏洞及相应的利用方式，在网络中寻找存在这些漏洞的点，进行攻击或防御
漏洞挖掘：对系统进行深入分析，挖掘之前别人没有发现的漏洞

7.学习平台：
i春秋：www.ichunqiu.com

合天网安：www.hetianlab.com

freebuf：www.freebuf.com

51cto：www.51cto.com

8.书籍推荐：Web安全深度剖析、疯狂的硬盘

9.漏洞响应平台：乌云网、补天网 

本文出自 “10999785” 博客，谢绝转载！