21.1 解析应用程序内容

21.1.1 搜索可见的内容

21.1.2 浏览公共资源

21.1.3 发现隐藏的内容

21.1.4 查找默认内容

21.1.5 枚举标识符指定的功能

21.1.6 调试参数

21.2 分析应用程序

21.2.1 确定功能

21.2.2 确定数据进入点

21.2.3 确定所使用的技术

21.2.4 解析受攻击面

21.3 测试客户端控件

21.3.1 通过客户端传送数据

21.3.2 客户端输入控件

21.3.3 测试客户端扩展组件

21.4 测试验证机制

21.4.1 了解验证机制

21.4.2 测试密码强度

21.4.3 测试用户名枚举

21.4.4 测试密码猜测的适应性

21.4.5 测试密码回复功能

21.4.6 测试“记住我”功能

21.4.7 测试伪装功能

21.4.8 测试用户名的唯一性

21.4.9 测试证书的可预测性

21.4.10 检查不安全的证书传输

21.4.11 检查不安全的证书分配

21.4.12 检查不安全的存储

21.4.13 测试逻辑缺陷

21.4.14 利用漏洞获取未授权访问

21.5 测试会话管理机制

21.5.1 了解会话管理机制

21.5.2 测试令牌的含义

21.5.3 测试令牌的可预测性

21.5.4 检查不安全的令牌传输

21.5.5 检查在日志中泄露的令牌

21.5.6 测试会话—令牌映射

21.5.7 测试会话终止

21.5.8 测试会话固定

21.5.9 检查CSRF

21.5.10 检查cookie范围

21.6 测试访问控件

21.6.1 测试访问控件

21.6.2 使用多个账户测试

21.6.3 使用有限的权限测试

21.6.4 测试不安全的访问控制方法

21.7 测试基于输入的漏洞

21.7.1 模糊测试所有请求参数

21.7.2 测试SQL注入

21.7.3 测试XSS和其他响应注入

21.7.4 测试OS命令注入

21.7.5 测试路径遍历

21.7.6 测试脚本注入

21.7.7 测试文件包含

21.8 测试特殊功能方面的漏洞

21.8.1 测试SMTP注入

21.8.2 测试本地代码漏洞

21.8.3 测试SOAP注入

21.8.4 测试LDAP注入

21.8.5 测试XPath注入

21.8.6 测试后端请求注入

21.8.7 测试XXE注入

21.9 测试逻辑缺陷

21.9.1 确定关键的受攻击面

21.9.2 测试多阶段过程

21.9.3 测试不完整的输入

21.9.4 测试信任边界

21.9.5 测试交易逻辑

21.10 测试共享主机漏洞

21.10.1 测试共享基础架构之间的隔离

21.10.2 测试使用ASP主机的应用程序之间的隔离

21.11 测试Web服务器漏洞

21.11.1 测试默认证书

21.11.2 测试默认内容

21.11.3 测试危险的HTTP方法

21.11.4 测试代理功能

21.11.5 测试虚拟主机配置不当

21.11.6 测试Web服务器软件漏洞

21.11.7 测试Web应用程序防火墙

21.12 其它途径

21.12.1 测试基于DOM的攻击

21.12.2 测试本地隐私漏洞

21.12.3 测试脆弱的SSL加密算法

21.12.4 检查同源策略配置

21.13 检查信息泄露

黑客攻防技术宝典（二十一）相关推荐

1. 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1：了解Web应用程序

   读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...

2. 热评一箩筐——《黑客攻防技术宝典》

   < 黑客攻防技术宝典: Web实战篇 > 自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的). 下面是我们收集的读者对这本书的 ...

3. 跟安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典：web实战篇》

   跟安全技术大师学习黑客攻防技术 --<黑客攻防技术宝典: web 实战篇> 随着网络技术的快速发展以及网络带宽的不断扩张, Web 应用程序几乎无处不在,渗透到社会的经济.文化.娱乐等各个 ...

4. 《黑客攻防技术宝典：Web实战篇》习题答案(一)

   译者按:以下为<黑客攻防技术宝典:Web实战篇>一书第二版中的习题答案,特在此推出.如果读者发现任何问题,请与本人联系.英文答案请见:The Web Application Hacker' ...

5. 《黑客攻防技术宝典Web实战篇》.Dafydd.Stuttard.第2版中文高清版pdf

   下载地址:网盘下载 内容简介 编辑 <黑客攻防技术宝典(Web实战篇第2版)>从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题.每章后还 ...

6. 黑客攻防技术宝典web实战篇：核心防御机制习题

   猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...

7. 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典：web实战篇》

   媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...

8. 黑客攻防技术宝典（二十）

   Web应用程序黑客工具包 20.1 Web浏览器 20.2 集成测试套件 20.2.1 工作原理 20.2.2 测试工作流程 20.2.3 拦截代理服务器替代工具 20.3 独立漏洞扫描器 20.3. ...

9. 黑客攻防技术宝典（十二）

   第12章 攻击其他用户 12.1 XSS的分类 12.1.1 反射型XSS 12.1.2 存储型XSS 12.1.3 基于DOM的XSS 12.2 进行中的XSS攻击 12.2.1 真实XSS攻击 1 ...

最新文章

1. github使用教程及小问题
2. 【荐】CSS多级导航菜单
3. oracle的server_name,配置Oracle Name Server的完全步骤
4. 分享一个在线考试系统，练手项目用他很香
5. c语言infile和outfile用法,C语言文件读写基本操作DEMO
6. elasticsearch-5.6.12 单点安装包括 HEAD插件安装
7. windows 守护进程
8. java运行时异常的特点是什么_java异常详解
9. android 浏览器内核 内存占用,移动浏览器的四大内核
10. 常见电商模式B2B、B2C、C2B、C2C、O2O
11. 今日不谈股市, 谈谈财政部副部长廖晓军不降个税问题
12. linux挂载40t硬盘,Centos支持40T磁盘阵列MD1200
13. mac中有关delete删除键的5种用法
14. Java –显示所有ZoneId及其UTC偏移量
15. 应用SqlHelper例子（userService）
16. JDK Tomcat MySQL一键安装
17. js运动小球碰壁反弹
18. 三星N900刷机包 港版4.4.2精简 官方原汁原味 卡刷包
19. LCD液晶显示屏的特性与控制
20. 手机有没有抠图换背景的软件？这篇文章来告诉你

热门文章

1. 程序猿版：溢出吧，后浪
2. vs2019 中文离线安装包下载
3. toshare获取所有A股数据（复权数据）
4. 设计系统简史——过去，现在与可能的未来
5. 全球物联网专利竞争态势分析
6. 2019年全国程序员统一考试，现在开始！搞笑篇
7. PyTorch深度学习60分钟闪电战：03 神经网络
8. 蓝桥杯 ADV-226 9-3摩尔斯电码 java
9. 为什么我的苹果手机下载不了软件?下面有个方法能解决
10. Debian 11 AMD Install driver