一、渗透测试定义:1.渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
二、渗透工程师需要掌握的技能:1.程序员的思维和编码能力。
2.恶意攻击者的思路和方法。
三、渗透测试的目标:1、主机操作系统渗透对Windows、AIX、Linux、Unix等操作系统本身进行渗透测试。
2、数据库系统渗透对Oracle、MySQL、DB2等
数据库应用系统进行渗透测试。
3、应用系统渗透对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。
四、web渗透步骤:
1.信息收集
2.整站映射
3.漏洞扫描
4.测试报告
五、web常用渗透工具:
HTTP代理:1.介于浏览器和服务器之间的桥梁,常用工具burpsuit,fiddler等等
网站爬虫: 2.对web,app测试是对整个网站进行测试,常用工具:zap,burpsuit,httrack等等
3.python工具:scrapy
web漏洞扫描:1.针对web app技术漏洞扫描
2.常用工具:appscan,awvs
3.python:工具w3af
目录探测:1.针对web app不链接页面探测,基于字典的暴力破解
2.常用工具Dirb,wfuzz