【安全测试自学】初识安全测试（一）

 

 

 

 

学习资料：

安全测试专家成长系列之-初探Web安全1.mp4

 

（1）初始安全测试的各类安全问题

（2）安全事件案例集

（3）安全测试的未来

（4）总结和讨论

---

 

 

一、什么是安全测试？？

就是Hack！

白帽子：不违反法律，利用自己的安全技术去做一些事情，合理合法，并帮助厂商去维修。

黑帽子：违反法律去做一些安全方面的事情。

灰帽子：熊猫烧香的作者

绿帽子：

我们的目标就是：白帽子。

U推荐的书：白帽子讲Web安全

 

 二、常见的安全问题：OWASP组织

 开放式Web应用程序安全项目（OWASP）

 

十大高危漏洞 ：

 

三、WEB安全问题分类：

四、部分黑客常用名词解释：

脱裤子：就是SQL注入

盲打：XSS跨站，用户的cookie，然后用cooike登录

webshell：管理网站的木马

钓鱼：

肉鸡：电脑中木马后，被木马的电脑就是肉鸡

跳板：攻击某一个网站，会留下一个ip。然后先攻击一个电脑，获取IP，然后通过中间的Ip去攻击目标的另一个电脑。这中间电脑就是跳板。

登录劫持：

0Day：未公布出来的安全问题。

 

02：安全事件案例集=安全深透

（1）SQL注入：高危漏洞

     改造原来的SQL语句。

    危害：

     （1）数据泄露

     （2）权限绕过：不用账号就能登录

     （3）网站沦陷

     （4）其他

     分析原理1：

     

   分析原理2：越过登录，直接进入管理页面，万能钥匙 。

 

    案例1：

    多玩的参数后面加单引号'，同时可以获得到服务器的数据库等地址等。

   

   案例2：

    

    

 案例3：盛大webshell网站木马，获取到整个网站的信息等。

    其他SQL注入案例：

     

 

 （2）xss跨站：跨站脚本攻击

   危害：

      cookie的窃取，挂木马，病毒，暗链，钓鱼，点击劫持，登录劫持，蠕虫攻击，后台沦陷

   

  案例4：

   

 

 

（3）CSRF跨站请求伪造

（4）跨域跳转

（5）上传漏洞