pythonweb滲透測試工具學習1:Web應用滲透測試簡介
Web應用滲透測試簡介
- Web滲透測試流程
- 典型的Web應用工具包
- 測試環境
Web滲透測試流程
在本節中,我們將瞭解Web應用程式滲透測試是什麼。
滲透測試是一種從攻擊者的角度評估應用程式安全性的安全性測試。
目標是識別缺陷並演示如何利用它們攻擊,以及對公司的影響。最後,報告將提供解決方案。這是手冊和動態測試。手冊意味著它在很大程度上取決於測試者的知識,所以學習如何編寫自己的滲透測試工具很重要,會讓您在職業生涯中佔據優勢。
動態測試是測試則是和靜態分析相對應,對執行的程式進行測試。
ofollow,noindex">EMC的報告 報告每家公司的年度財務損失為497,037美元的停機時間,860,273美元的安全漏洞和585,892美元的資料丟失。另外用於事件響應和修復,測試和部署的成本。
圖片.png
圖片.png
滲透測試將有助於公司保護他們的客戶的資料,智慧財產權和服務。滲透測試四個主要部分如下:
- 偵察:收集資訊,比如使用的技術,支援應用程式的基礎設施,軟體配置,負載平衡等。這個階段也稱為指紋識別。
- 對映:構建應用程式頁面和功能的對映或圖表。目標是確定元件及其關係。此時需要使用爬蟲技術,並通過執行暴力攻擊來發現非關聯資源。
- 漏洞:漏洞發現。
- 利用:利用漏洞,嘗試進入其內部網路段。
- 報告
形式有灰盒、白盒、黑盒。黑盒沒有關於目標的任何資訊。白盒測試時客戶向我們提供文件,原始碼和
配置,灰盒子介於兩者之間,客戶提供的資料未必完整。
重要的內容:
- 配置和部署管理測試
- 身份管理測試
- 認證測試
- 授權測試
- 會話管理測試
- 輸入驗證
- 測試錯誤處理
- 加密
- 業務邏輯測試
- 客戶端測試
更多參考: OWASP_Testing_Project
那麼,為什麼要建立自己的工具呢? Web應用程式使用多種技術,組合,流程和實現。沒有工具可以涵蓋所有場景。
典型的Web應用工具包
- HTTP代理
最重要的工具是HTTP代理。它允許您攔截瀏覽器和伺服器之間的雙向所有通訊,即man-in-the-middle代理。它讓我們瞭解應用程式的工作原理,允許攔截請求,響應和修改。
通常,代理將與瀏覽器在同一機器。安全專業人員使用最多的HTTP代理來自PortSwigger安全的 Burp Suite 和Zed攻擊代理 ZAP 。命令列代理 MITM (python)很適合構建工具或自動化某些場景。
- 爬蟲和蜘蛛
爬蟲和蜘蛛用於對映Web應用程式,自動執行分類。該工具會自動抓取應用的所有連結,提交表單,分析
新內容的回覆。
獨立的爬蟲和蜘蛛,如 Scrapy (python); 命令列工具如 httrack 。爬蟲和代理可以更好的結合:比如傳統的抓取工具不會解釋JS,但瀏覽器會解釋。所以代理將看到它並將其新增到爬蟲目錄。
- 漏洞掃描程式
最常用的開放源Web應用程式安全掃描程式是 w3af (python), Arachni (ruby)。
商業的,如 Acunetix 價效比比較高。
- 暴力資源定位器
用於通過字典攻擊查詢檔案、目錄、servlet和引數等內容,,servlet或的引數。這些工具使用的單詞列表為安全專業人員近10年的累積,其中包含不同的產品或Web應用程式的檔名目錄或單詞。
先驅工具是 DIRB ,仍由Dark Raver提供和維護。另一個很好的選擇
是 Wfuzz 。
Burp和ZAP等工具提供了這些功能。所有工具受益於單詞列表,比如FUZZDB提供的( https://github.com/fuzzdb-project )。
可愛的python測試開發庫 請在github上點贊,謝謝!
- 技術支援qq群: 144081101(後期會錄製視訊存在該群群檔案) 591302926 567351477 釘釘免費群:21745728
- 具體的任務工具
雜湊,Base 64,MD5,SHA1和Unicode等。
利用漏洞工具:如SQL%E6%B3%A8%E5%85%A5/">SQL注入器如SQL map,XSS控制檯如Beef來演示XSS和DOM XSS,Dominator等掃描工具等等。
其他工具,比如控制伺服器,上傳檔案,Shell,代理內容到內部網路,並在內部擴充套件您的攻擊。