测试基础了解

渗透测试：渗透人员在不同位置利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透发现测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。

渗透测试流程

1. 明确目标
2. 信息收集
3. 漏洞探测（SQL注入；下载漏洞；xss；文件上传；变量覆盖；代码执行；）
4. 漏洞验证（poc漏洞验证）（不建议exp漏洞利用）
5. 编写报告
6. 信息整理
7. 获取所需
8. 信息分析

HTTP协议（超文本传输协议）（详细规定浏览器和万维网服务器之间互相通信的规则）

1. 请求方法：get      post
2. http头中安全隐患：在PHP中使用$_SERVER["HTTP_CLIENT_IP"]或$_SERVER["HTTP_X_FORWARDED_FOR"]获取IP　　(修改http头中的X_FORWARDED_FOR：、client-ip:来进行攻击)
3. 响应码：

• • 200：客户端请求成功；
  • 404：请求资源不存在；
  • 302：重定向；
  • 400：客户端请求有语法错误，不能被服务器理解；
  • 401：请求未经授权；
  • 403：服务器收到请求，但是拒绝提供服务；
  • 500：服务器内部错误；
  • 503：服务器当前不能处理客户端的请求，一段时间内可能恢复正常

 

 

所有的努力都是为了明天更好的自己呀~