学习资料:
安全测试专家成长系列之-初探Web安全1.mp4
(1)初始安全测试的各类安全问题
(2)安全事件案例集
(3)安全测试的未来
(4)总结和讨论
一、什么是安全测试??
就是Hack!
白帽子:不违反法律,利用自己的安全技术去做一些事情,合理合法,并帮助厂商去维修。
黑帽子:违反法律去做一些安全方面的事情。
灰帽子:熊猫烧香的作者
绿帽子:
我们的目标就是:白帽子。
U推荐的书:白帽子讲Web安全
二、常见的安全问题:OWASP组织
开放式Web应用程序安全项目(OWASP)
十大高危漏洞 :
三、WEB安全问题分类:
四、部分黑客常用名词解释:
脱裤子:就是SQL注入
盲打:XSS跨站,用户的cookie,然后用cooike登录
webshell:管理网站的木马
钓鱼:
肉鸡:电脑中木马后,被木马的电脑就是肉鸡
跳板:攻击某一个网站,会留下一个ip。然后先攻击一个电脑,获取IP,然后通过中间的Ip去攻击目标的另一个电脑。这中间电脑就是跳板。
登录劫持:
0Day:未公布出来的安全问题。
02:安全事件案例集=安全深透
(1)SQL注入:高危漏洞
改造原来的SQL语句。
危害:
(1)数据泄露
(2)权限绕过:不用账号就能登录
(3)网站沦陷
(4)其他
分析原理1:
分析原理2:越过登录,直接进入管理页面,万能钥匙 。
案例1:
多玩的参数后面加单引号',同时可以获得到服务器的数据库等地址等。
案例2:
案例3:盛大webshell网站木马,获取到整个网站的信息等。
其他SQL注入案例:
(2)xss跨站:跨站脚本攻击
危害:
cookie的窃取,挂木马,病毒,暗链,钓鱼,点击劫持,登录劫持,蠕虫攻击,后台沦陷
案例4:
(3)CSRF跨站请求伪造
(4)跨域跳转
(5)上传漏洞
