滲透測(cè)試分析

已報(bào)名記錄學(xué)習(xí)筆記

信息收集

第一步做的就是信息收集，正所謂知己知彼百戰(zhàn)百勝，我們根據(jù)網(wǎng)站URL可以查出一系列關(guān)于該網(wǎng)站的信息。通過(guò)URL我們可以查到該網(wǎng)站的IP、該網(wǎng)站操作系統(tǒng)、腳本語(yǔ)言、在該服務(wù)器上是否還有其他網(wǎng)站等等一些列的信息。更多的關(guān)于信息收集，我在另一篇文章中很詳細(xì)的介紹了信息收集需要收集哪些信息，以及信息收集過(guò)程中需要用到的工具，傳送門(mén)——> 滲透測(cè)試之信息收集

漏洞探測(cè)

當(dāng)我們收集到了足夠多的信息之后，我們就要開(kāi)始對(duì)網(wǎng)站進(jìn)行漏洞探測(cè)了。探測(cè)網(wǎng)站是否存在一些常見(jiàn)的Web漏洞，比如：

SQL注入? ? ， 傳送門(mén)——>SQL注入詳解

XSS跨站腳本? ，傳送門(mén)——>XSS(跨站腳本)漏洞詳解

CSRF跨站請(qǐng)求偽造? ,? 傳送門(mén)——>CSRF跨站請(qǐng)求偽造攻擊

XXE漏洞，傳送門(mén)——>XXE(XML外部實(shí)體注入)漏洞

SSRF服務(wù)端請(qǐng)求偽造漏洞，傳送門(mén)——>SSRF(服務(wù)端請(qǐng)求偽造)漏洞