标签:安全意识 站点 新功能 全球 数据 其他 sql注入 log 网址
更多渗透测试相关内容请关注此地址:https://blog.csdn.net/weixin_45380284
静态内容阶段(HTML)
CGI程序阶段(增加了APA接口,可以动态)
脚本语言阶段(ASP,PHP,JSP等)
瘦客户端应用阶段(独立于WEB服务器的应用服务器)
RIA应用阶段(DHTML+AJAX可以不用刷新功能内容可变)
移动WEB应用阶段(安卓。Ios )
跨站脚本漏洞
弱口令漏洞
SQL注入漏洞
密码重用漏洞
任意文件上传漏洞
密码泄露
远程代码执行漏洞
源代码信息泄露
任意文件下载漏洞
存在入侵痕迹
越权访问
登陆可暴力猜解漏洞
旁注漏洞
文件任意写入漏洞
……
1.核心的安全问题:
用户可向服务器端应用提交任意输入
2.关键问题因素
不成熟的安全意识
独立开发
欺骗性的简化
迅速发展的威胁形势
资源与时间限制
技术上强其所难
对功能需求不对增强
3.新的安全边界
安全边界向用户端转移
在web应用程序出现之前
主要在网络边界上抵御外部攻击,保护这个边界需要对其提供服务进行强化打补丁,设置防火墙。
在web应用程序出现之后
用户要访问应用程序,边界防火墙一定要允许其通过HTTP/HTTPS连接内部服务器,应用程序要实现其功能,必须允许其连接服务器来支持后端系统、数据库、大型主机、金融与后勤系统。
如果存在漏洞,只要提交专门设计的数据就可以公婆组织的核心后端系统,这些数据就像正常,良性数据流一样,穿透组织的所有防御
所以要在应用程序内部执行防御措施 第三方小部件、以及很多跨域集成技术,让服务器端的安全边界跨越了组织本身的边界。
小结
应用程序使用SSL仅仅表示网络其他用户无法查看修改攻击者传送的数据
SSL无法阻止攻击者向服务器提交专门设计的输入
攻击者控制着SSL通道终端,可以向服务器发任何内容
1、腾讯http://security. tencent. com
2、网易http://aq. 163. com
3、京东http://security. jd. com
4、百度http/sec. baidu. com
5、补天https://www. but ian. net/
6、漏洞银行https://www. bugbank. cn
7、Sebug http://sebug. net/
8.、freebuf http://www. freebuf. com/
9、wooyun 镜像http://www.anquan.us
10、全球黑客攻防学习站点https://link-base.org
攻防学习网址导航
1、安全圈https://www.anquanquan.info/
HACKED SAFE
Hacked safe
众测平台:
漏洞盒子:www.vulbox.com
CNVD众测平台:http://zc.cnvd.org.cn
渗透测试流程
0.授权
1.信息收集
2.扫描漏洞
3.漏洞利用
4.提权
窃取信息
毁尸灭迹
留后门
5.渗透测试报告
标签:安全意识 站点 新功能 全球 数据 其他 sql注入 log 网址
原文地址:https://www.cnblogs.com/heibaizidu/p/13333927.html