freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

安全性測試初步接觸(參考版)

2025-01-20 08:27本頁面
  

【正文】 工具篇 Watchfire Appscan—— 全面自動測試工具 Acuix Web Vulnerability —— 全面自動測試工具 ScannerHttpAnalyzerFull—— 加載網(wǎng)頁時可判斷 TamperIESetup—— 提交表單時改造數(shù)據(jù) ? 注:上述工具最好安裝在虛擬機中,不影響實際機環(huán)境 ? Appscan、 Web Vulnerability 需安裝 . framework,可能與 sniffer沖突 ? ScannerHttpAnalyzerFul與 TamperIESetup會影響實際機瀏覽器平時的功能測試 (一) Watchfire Appscan ? 選擇模板, default(含大部分的測試集合) ? 填入用戶名與密碼(各頁面通用) (二) Acuix Web Vulnerability ? 選擇 web scan,填寫用戶名與密碼 (三) ScannerHttpAnalyzerFull ? 嵌套在網(wǎng)頁中,對于每個加載項都有加載時間、 method、 result、 type、 url等 ? Method ? 主要驗證到時是否使用 post來進(jìn)行認(rèn)證與會話 ? Result ? 主要看加載項是否出現(xiàn) 40 40500等錯誤(對于錯誤還要進(jìn)行歸類) (四) TamperIESetup ? 驗證用戶名與密碼傳輸( post or get) (五)其他工具 ? Companion js— 逆向查看 java語言編寫的網(wǎng)頁源碼 ? Nessus—— 掃描服務(wù)器(協(xié)議與端口) ? Paros—— 掃描工具 ? Sss—— 系統(tǒng)掃描工具 ? Sds—— 數(shù)據(jù)庫掃描工具 ? wikto—— spider、 google hack等 ? Xscan、流光 ??蓪徲嬓耘c可恢復(fù)性 ? 服務(wù)器端日志:檢測系統(tǒng)運行時是否會記錄完整的日志。需要做負(fù)載均衡來對付。 )緩沖區(qū)溢出 ? WEB服務(wù)器沒有對用戶提交的超長請求沒有進(jìn)行合適的處理,這種請求可能包括超長 URL,超長 HTTP Header域,或者是其它超長的數(shù)據(jù) ? 使用類似于 “ strcpy(), strcat()”不進(jìn)行有效位檢查的函數(shù),惡意用戶編寫一小段程序來進(jìn)一步打開安全缺口,然后將該代碼放在緩沖區(qū)有效載荷末尾,這樣,當(dāng)發(fā)生緩沖區(qū)溢出時,返回指針指向惡意代碼 ? 用戶使用緩沖區(qū)溢出來破壞 web應(yīng)用程序的棧,通過發(fā)送特別編寫的代碼到 web程序中,攻擊者可以讓 web應(yīng)用程序來執(zhí)行任意代碼。 ? 如大小寫,編碼解碼,附加特殊字符或精心構(gòu)造的特殊請求等都可能導(dǎo)致 CGI源代碼泄露 ? 可使用 appscan或 sss等來檢測,檢查特殊字符集 )不恰當(dāng)?shù)漠惓L幚? ? 分析:程序在拋出異常的時候給出了比較詳細(xì)的內(nèi)部錯誤信息,暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié),網(wǎng)站存在潛在漏洞,有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置
點擊復(fù)制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1