1. 首页
  2. 文章中心
  3. 安全测试

安全测试,web安全

83 阅读 0 评论
我是靠谱客的博主 包容小馒头,这篇文章主要介绍安全测试,web安全,现在分享给大家,希望可以做个参考。

黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。

层出错时,相应层就出现了问题。

Web分为好几层,一图胜千言:

完全没有基础我该从哪下手?

完全没有基础学习 Web 安全是件比较难的事情,所以我给出的最小的方案和最少的建议。

  1. 工具
    1. 先用 AWVS 扫几个测试网站大体了解一下
      1. testphp.vulnweb.com/
      2. http://testhtml5.vulnweb.com
      3. http://testasp.vulnweb.com
      4. http://testaspnet.vulnweb.com
    2. 把扫到的漏洞复现,了解怎么利用,主要了解:
      1. XSS
      2. SQL 注入
      3. 远程代码执行
  2. 开发
    1. 书籍
      1. 《细说 PHP》
    2. 实践
      1. 使用 PHP 写一个列目录的脚本,可以通过参数列出任意目录的列表
      2. 使用 PHP 抓取一个网页的内容并输出
      3. 使用 PHP 抓取一个网页的内容并写入到Mysql数据库再输出
  3. 安全
    1. 实践
      1. 手工找 testphp.vulnweb.com/ 的漏洞,对比 AWVS 的结果
    2. 书籍
      1. 《黑客攻防---web安全实战详解》
      2. 《安全之路:Web渗透技术及实战案例解析(第2版)》
      3. 还是看不懂就找自己能看得进的 Web 安全的书

探索资源,我在研究和学习的过程中更加好的资源和工具来帮助我们成长和解决问题?

平时我们安装一个mysql,要先到处找安装包,再一步步配置,运行,还不知道装哪了。开机就自动启动了,用了 docker 后再也没这个烦恼拉,一行命令,或者是在Kitematic界面上点一下就运行拉。

  1. Github https://www.github.com
    1. 搜索 awesome-xxx
      1. 举例
      2. github.com/enaqx/awesom
      3. github.com/alebcay/awes
      4. github.com/search?-
    2. 找到大牛的 github 看 stars,也就是收藏的项目
      1. github.com/flankerhqd? 移动安全
      2. github.com/orangetw? WEB 安全、CTF
      3. github.com/EtherDream? 前端安全
      4. github.com/l3m0n? 渗透测试、内网安全
      5. github.com/ring04h? 安全开发
    3. 探索频道 github.com/explore
      1. 主要是一些有趣的新潮的项目
      2. 当然也有安全相关的啦 github.com/showcases/se
    4. 趋势 github.com/trending/dev
    5. 善用收藏
  2. Docker hub hub.docker.com/ ,用于查找已经封装好的环境,减少装环境带来的麻烦

举例:

  1. 数据库 Mysql hub.docker.com/_/mysql/
    一句话安装运行:docker run -e MYSQL_ROOT_PASSWORD=my-secret-pw -d mysql:latest
  2. XSS攻击平台BeeF hub.docker.com/r/janes/ 一句话安装运行:docker run --rm -p 3000:3000 janes/beef
  3. Kali 渗透测试 Linux 系统 hub.docker.com/r/kalili
  4. 漏洞靶场 hub.docker.com/r/citize 一句话安装运行:docker run -d -p 80:80 citizenstig/dvwa
  5. Nmap hub.docker.com/r/uzyexe
    一句话安装运行:docker run --rm uzyexe/nmap -p 80 http://example.com
  6. 搜索通用漏洞靶场,关键字:cve-
  7. 安全相关的 Paper
    1. paper.seebug.org/
    2. http://bobao.360.cn/learning/index
    3. 乌云 Drops 文章在线浏览
    4. wiki.ioin.in/



最后

以上就是包容小馒头最近收集整理的关于安全测试,web安全的全部内容,更多相关安全测试内容请搜索靠谱客的其他文章。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(55)

相关文章

Android中的常用控件之进度条(ProgressBar)
Android中的常用控件之进度条(ProgressBar)
批量漏洞检测框架
批量漏洞检测框架
很好的在线端口扫描网站
很好的在线端口扫描网站
一次用18个网站检测工具扫描网站是否含有恶意文件
一次用18个网站检测工具扫描网站是否含有恶意文件
安全测试,web安全
安全测试,web安全
渗透测试工具之——AppScan安装配置及扫描AppScan安装配置及扫描
渗透测试工具之——AppScan安装配置及扫描AppScan安装配置及扫描
【推荐】《Android应用安全设计及安全编码指导手册》更新到2016年9月1日版本0. 下载地址1. 简介2. 附:目录对比
【推荐】《Android应用安全设计及安全编码指导手册》更新到2016年9月1日版本0. 下载地址1. 简介2. 附:目录对比
破解混淆加固的apk
破解混淆加固的apk

评论列表共有 0 条评论

立即
投稿
返回
顶部