本文仅为小白了解安全测试提供帮助

一:安全测试注意事项
1)要注意白帽子与黑客之间的区别
2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~
二:web介绍
1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万计的web资源传输。有html,图片,音频,视频等等组成
2)web的工作流程
举个栗子:

细分流程图,安全漏洞根据客户端与服务器端的分布:

钓鱼:黑客构造一个跟知名网站很相似的网站,吸引用户登录,输入敏感信息,或通过邮件等验证方式,不知不觉中获得用户的登录密码之类的。
暗链:其实“暗链”就是看不见的网站链接,“暗链”在网站中的链接做的非常隐蔽,短时间内不易被搜索引擎察觉。它和友情链接有相似之处,可以有效地提高PR值。但要注意一点PR值是对单独页面,而不是整个网站。
暗链一般是把html的框架设置为不可见的,既00或者为负

xss:跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。
举个栗子:论坛用户在发帖时,在帖子里写了html代码。当其他用户浏览时,此段代码被执行,导致其他用户看到的东西是一些恶意的东西。
https://www.2cto.com/article/201209/156182.html
点击劫持:是一种视觉上的欺骗手段。大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

CSRF:简单说, 攻击者盗用了你的身份,以你的名义发送恶意请求。

http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
http://baike.baidu.com/view/1609487.htm?fr=aladdin

URL跳转:http://localhost:81/url.php?url= 存在URL跳转漏洞的页面
http://blog.csdn.net/change518/article/details/53997509

sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
https://www.cnblogs.com/sdya/p/4568548.html

文件上传/文件包含:上传的附件没有进行过滤,当上传的文件为危险文件时,依然可以上传成功。 比如一句话木马的php文件。 这样很容易服务器的后台被控制

暴力破解:使用一个好的字典,利用工具,暴力破解网站的登录名和密码。 这要求字典一定要有很多常用数据。 字典也可以用python自己写。

浏览器首先想DNS服务器发送请求,获取到ip地址,然后通过IP地址找到相应服务器

浏览器与服务器的通信靠 http协议。 通过发送http请求,和接收服务器端返回的http响应,来进行交互
浏览器接收到响应信息后,通过html javascript css 等技术,把相应信息渲染成可视化的图形界面。 截止到这里,为整个web工作流程

三:浏览器
1)搜索引擎
浏览器:百度搜索,谷歌hack,bing(用于IP搜索)
百度搜索语法:
intitle/title:xxx 限定搜索内容在标题中
inurl:xxx 限定搜索内容在url中
filetype:doc 限定文件格式 例子:photoshop实用技巧 filetype:doc
site:xxx 限定搜索范围在特定的站点中
双引号“”和书名号《》精确匹配。 同时表达了搜索此不能拆分。 可以试一下搜手机
-不含特定查询词。 例子:例子:电影 -qvod 或升职记 -太子妃
+包含特定查询词
谷歌hack搜索与百度搜索语法相近,在细节处有些不同
必应bing搜索的语法:


不同的搜索引擎对应的不同的数据库和资源。
网络空间搜索引擎:

Shodan,来自于国外,点击“Details”,可查看详情信息,包括域名、IP、地址、Web技术、对外开放的端口和相应的服务。提供API接口。
Zoomeye,来自于国内安全公司知道创宇。点击查看详情,包括IP、地址、对外开放的端口和相应的服务。提供API接口。但对中国地区的服务器IP地址做了部分隐藏处理。
Fofa,来自于国内,提供API接口

在线web工具:www.ipip.net 、www.cmd5.com,www.anquanquan.info
tips:以谷歌为例。 有时安全漏洞是在前端页面出现时,可以通过禁用js或者css来定位漏洞
禁用js方法(工具-设置-高级设置-隐私设置-内容设置):

禁用css方法:

2) 浏览器插件(特别是火狐)

四:需要了解的知识(不求精通,但会写简单的以及能看懂所有的代码)
1)html
2)javascript
3)sql
4)php
5)web服务器环境

五:安全测试工具
web渗透测试工具:
AWVS ( Acunetix Web Wulnerability Scanner)是一个自动化的Web 应用程序安全测试工具,它可以扫描任何可通过Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web站点和 Web应用程序、国内普遍简称WVS。
WebInspect(企业级漏

HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描,您可以快速而准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。WebInspect是最准确和全面的自动化的Web应用程序和Web服务漏洞评估解决方案。

AppScan

对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试(DAST) 和交互式应用程序安全测试 (IAST)。支持 Web 2.0、 JavaScript 和 AJAX 框架的全面的 JavaScript 执行引擎。涵盖 XML 和 JSON 基础架构的 SOAP 和 REST Web 服务测试支持 WSSecurity 标准、 XML 加密和 XML 签名。详细的漏洞公告和修复建议。40 多种合规性报告,包括支付卡行业数据安全标准 (PCI DSS)、支付应用程序数据安全标准 (PA-DSS)、 ISO 27001 和 ISO 27002,以及 Basel II。
具体讲解信息,详见链接:http://blog.csdn.net/pygain/article/details/52729266
数据库扫描漏洞工具:
sqlmap
Pangolin(穿山甲)
其他工具:
Burpsuite(重点,功能很全)
fiddler
Nmap(端口扫描)
Wireshark
工具大全:http://blog.csdn.net/zj0910/article/details/42294249
tips:工具只是在一定程度上帮你快速搜索到一些明显的漏洞,但漏洞的具体证实仍需手工进行检验。故不要盲目的依赖工具。

六:常见的安全漏洞
1、XSS
xss又叫CSS(Cross-SiteScripting),跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。

2、CSRF
3、URL跳转
4、点击劫持

5、SQL注入
6、命令注入
7、文件操作漏洞

菜鸟浅谈——web安全测试相关推荐

  1. 浅谈web应用的负载均衡、集群、高可用(HA)解决方案

    浅谈web应用的负载均衡.集群.高可用(HA)解决方案 转载于:https://www.cnblogs.com/hfultrastrong/p/7887420.html

  2. 浅谈web开发以及django的安装和入门

    浅谈web开发 1.B/S和C/S结构 B/S:浏览器与服务器进行的交互模式(不需要官方下载的,一夫多妻制) C/S:客户机与服务器进项的交互模式(必须官方下载的,一夫一妻制 2.MVC和MVT MV ...

  3. 浅谈 Web 3.0

    这篇文章的目的就是简单解释一下这个「Web 3.0」新概念. 为了更好地理解「Web 3.0」,我们可能需要从 「Web 1.0」和「Web 2.0」说起. 浅谈 Web 3.0 「Web 1.0」 ...

  4. 终端软件测试风险,浅谈三大终端测试 - 测试泡泡 - 51Testing软件测试网 51Testing软件测试网-软件测试人的精神家园...

    浅谈三大终端测试 K#JCx8q6v0文章出处:新浪科技 作者:李波 马治国 孙元宇 发布时间:2005-11-01 ac"x"E h)?+CywU3J0WCDMA.CDMA200 ...

  5. 浅谈互联网金融测试平台规划

    浅谈互联网金融测试平台规划 最近,测试团队的测试平台逐渐成型,记得16年我刚来公司时做的一个规划,打算将测试平台建设起来,谈谈自己的一些理解和体会,算是事后为这个事情的一种复盘:最早测试平台规划时,我 ...

  6. 浅谈web api和Webservice

    浅谈web api和Webservice webapi用的是http协议,webservice用的是soap协议 webapi无状态,相对webservice更轻量级.webapi支持如get,pos ...

  7. 浅谈TC8数据链路层测试

    当今时代,智能汽车已成为一个炙手可热的话题,各种先进汽车电子技术蓬勃发展,比如自动驾驶.V2X.OTA......这些新技术的背后都离不开车载以太网通信技术的支持.其中数据链路层实现了链路管理.虚拟局 ...

  8. 浅谈Web中前后端模板引擎的使用

    前言 这篇文章本来不打算写的,实话说楼主对前端模板的认识还处在非常初级的阶段,但是为了整个 源码解读系列 的完整性,在深入 Underscore _.template 方法源码后,觉得还是有必要记下此 ...

  9. 拒绝平庸--浅谈WEB登录页面设计

    用户活跃度是检验产品成功与否的重要指标之一,传统行业的商家极为重视门面的装潢,因为一个好的门面可以聚集人气,招揽更多的顾客.古时候的大户人家院子门口的石狮子或其他的摆件的摆放极为讲究,有一定的风水学说 ...

最新文章

  1. Linux 下获取本机所有网卡 以及 网卡对应ip 列表
  2. Linux 2.6 中的直接 I/O 技术
  3. java前言之计算机常识
  4. journalctl -xefu kubelet查看kubelet日志
  5. Office 365 系列之九:配置和体验 Exchange 和 Lync
  6. 2014年二级c语言,2014年计算机二级考试C语言选择题
  7. 计组之总线:4、总线标准
  8. cacti无密码登录
  9. 多元线性回归dw值_SPSS教程10:多元线性回归
  10. (二)Python 装饰器
  11. DHCP与DHCP中继--原理与配置--华为实验--配置接口模式、全局模式以及中继模式
  12. python自动注册邮箱_python+selenium实现163邮箱自动登陆的方法
  13. [NOI2015]荷马史诗
  14. Linux 0.11-shell 程序读取你的命令-43
  15. 快速文件扫描王用户协议
  16. Java Test Fore
  17. 微型计算机原理及应设计试卷,微型计算机原理及应用试卷2002年10月
  18. mysql 加盐_【mysql】当加盐算法需要改变,数据库该如何更新?
  19. 理查和马文价值导向选股法则!
  20. 开源软件 TOP 100

热门文章

  1. 小姨又找到我,让我做一个成语方面的脚本!我太难了!
  2. SolidWorks添加GB铝型材库要注意的问题
  3. bittorrent_Bittorrent的漩涡:使用Torrent托管网站
  4. linux服务器cpu的型号,Linux查看版本信息及CPU内核、型号等linux服务器应用 -电脑资料...
  5. 顺序二叉树(堆)与链式二叉树的C语言实现
  6. ClickHouse左连接
  7. root-me:network(一)
  8. JAVA毕设项目建材公司管理系统(Vue+Mybatis+Maven+Mysql+sprnig+SpringMVC)
  9. 数据挖掘竞赛黑科技——对抗验证(Adversarial validation)
  10. 只有学习才能走得更远