渗透测试(penetration testing , pentest)是实施安全评估(即审计)的具体手段.方法论是在指定.实施信息安全审计方案时,需要遵循的规则.惯例和过程.人们在评估网路.应用.系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结了一套理论-渗透测试方法论. 渗透测试的种类 黑盒测试 在进行黑盒测试时,安全审计员在不清楚被测单位的内部技术构造的情况下,从外部评估网络基础设施的安全性.在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术,暴露出目标的安全问题,甚…

[原创]Burp Suite web应用程序渗透测试神器 一 Burp Suite介绍 Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查. 二 官方网站及下载和安装 官方网站: https://portswigger.net/burp/download.html 下载传送门: 官方网站下载: https://portswigger.net/burp/downloa…

Web安全攻防 渗透测试实战指南   学习笔记 (五)   第四章 Web安全原理解析  (一) (一)SQL注入的原理 1.web应用程序对用户输入数据的合法性没有判断. 2.参数用户可控:前端传给后端的参数内容是用户可以控制的. 3.参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询. 举个栗子:   and = 当1=1为真,且where语句中id也为真,页面会返回与id=1相同的结果. 当传入的id参数为and 1=2时,由于1=2为假,所以页面就会返回与id=1不同的结果…

Web安全攻防 渗透测试实战指南   学习笔记 (四) Nmap                                       Network  Mapper    是一款开放源代码的网络探测和安全审核工具   nmap的相关参数和常用方法在此篇文章中已经注明~   https://www.cnblogs.com/0yst3r-2046/p/11012855.html     下面来介绍nmap的进阶用法~   1>脚本介绍   nmap的脚本默认存在 /xx/nmap/scrip…

Web安全攻防 渗透测试实战指南   学习笔记 (三) burp suite详解                                                 是一款集成化渗透测试工具(java编写,因此运行时依赖JRE,需要安装Java环境才可以运行)   安装JDK过程网上教程很多,可以根据自己需要的版本和操作系统来安装. 若在cmd中输入java -version  回车后返回版本信息则说明已经正确安装. 配置环境变量(参考网上教程) 若在cmd中输入javac  回车后…

Web安全攻防 渗透测试实战指南   学习笔记 (二)   第二章  漏洞环境及实践  …

Web安全攻防 渗透测试实战指南   学习笔记 (一) 第一章   信息收集     在信息收集中,最重要是收集服务器的配置信息和网站敏感信息(域名及子域名信息目标网站系统.CMS指纹.目标网站真实IP.开放端口)   收集域名信息         该域名的DNS服务器和注册人信息   1.Whois 查询           个人站点:得到注册人的姓名和邮箱信息  对于中小站点,管理员一般是域名所有人                  命令:whois   域名           在线who…

Web安全与渗透测试笔记 @author: lamaper 一.基本网络知识 (一)网络是怎样联通的 TCP/IP协议 Internet Http协议 (二)Http协议 http请求 一个完整的Http请求由四个部分组成: 请求行 请求头 空行 请求体 1.请求行 请求行:请求行是由请求方法字段.url字段.http协议版本字段3个部分组成.请求行定义了本次请求的方式,格式如下:GET/example.html HTTP/1.1(CRLF) 请求方法有如下几种: GET: 请求获取Reques…

为什么要出这样一本书? 首先,今年我有不少工作是跟接口自动化相关的,工作中的接口自动化颇有成效. 我一直是一个没有测试大格局的人,在各种移动测试技术爆发的这一年,我却默默耕耘着自己的一亩三分地儿(Web接口开发与测试). 不管是web自动化也好,移动自动化也好,大家都只是在关心UI层的自动化....作为分层自动化技术的信徒,市面居然没有一本关于接口自动化的书,那么我试着来填补这个空白. (电子版)其实半年前就出了,我从读者那里收到了大量的反馈,也有不少读者也从中受益,有的真的跑去转了开发,有人找…

Web服务器性能/压力测试工具http_load.webbench.ab.Siege使用教程 - VPS侦探 http://soft.vpser.net/test/http_load/http_load-12mar2006.tar.gz…