本篇将涉及:
- 什么是Web渗透测试;
- 为什么我们需要准备渗透测试;
- 渗透测试方法论
- 使用Python开发我们的渗透测试工具
一、什么是渗透测试
渗透测试是一种安全测试,它从攻击者的角度来评估和测试应用程序的安全性。简而言之,以测试的初衷模拟黑客的行为来对应用程序进行攻击,以发现应用程序的安全漏洞,检测应用程序的安全性,类似于黑盒测试。
目的是检测和识别应用程序中存在的漏洞和缺陷,并演示攻击者是如何利用这些漏洞和缺陷的。完全站在攻击者的角度来审视应用程序。
渗透测试是一种定制和动态的测试。从服务器架构到应用开发语言和应用编写人员的水平,各个应用程序之间存在着或大或小的差异。
二、为什么需要渗透测试
- web应用在一个公司中会负责处理大部分的请求和数据,事关一个公司的业务安全和数据安全,如果一个公司的业务系统被黑了,那损失就不止一点点了。
- 渗透测试是验证应用程序安全控制的有效性的必要手段,真实的攻击手段最能有效的验证安全措施的可靠性。
- 能够有效的保护用户数据和知识产权,避免后台数据被黑客窃取和脱库。
- 用于防范财务损失、名誉损失和遵守国家法律的规定。
三、渗透测试的一般思路
通常而言,一个渗透测试遵循着以下这个思路:
- 侦察和信息收集阶段
对应用程序进行各种信息的收集,包括但不限于服务器信息(操作系统、开放端口、运行的服务)、应用信息(应用架构、脚本类型) - 映射应用内容
- 漏洞扫描和发现
对应用陈程序进行漏洞扫描以发现其中的漏洞 - 漏洞利用
对发现的漏洞进行利用并获得权限。
四、一些常用的渗透测试方向:
- 配置和部署管理测试
- 身份管理测试
- 认证测试
- 授权测试
- 会话管理测试
五、使用Python开发自己的渗透测试工具
为什么我们需要开发自己的工具?
- Web应用程序越来越复杂,市面上通用的渗透测试工具已经满足不了所有的渗透测试场景,对于一些特定场景,现在的工具完全无能为力。
- 获得一项新的技能,可以提高自己工作的优势。
文章版权所有:州的先生博客,转载必须保留出处及原文链接