Web 网站安全测试 & 渗透测试
Penetration Testing
learning path
建一个测试环境来进行渗透测试
安装 Kali Linux -渗透测试操作系统
在虚拟机中安装windows和易受攻击的操作系统进行测试
学习linux命令以及如何在终端上使用
学习linux基础知识
了解网站和web应用程序是如何工作的
了解浏览器如何与网站进行通讯
收集有关网站的敏感信息
发现目标网站使用的服务器、技术和服务
发现与特定网站相关的电子邮件和敏感数据
查找与网站相关的所有子域
发现目标网站相关的未发布的目录和与文件
查找与目标网站相同的服务器上的所有网站
发现、利用和修复文件上传漏洞
利用文件上传漏洞,获得对目标网站的完全控制
使用代理截取请求
发现、利用和修复代码执行漏洞
利用高级的代码执行漏洞,完全控制目标网站
发现、利用和修复本地文件包含漏洞
利用高级的本地文件包含漏洞,获得对目标网站的完全控制
利用高级的远程文件包含漏洞,获得对目标网站的完全控制
发现和利用SQL注入漏洞
绕过登录页面限制并使用SQL注入登录admin
写SQL查询语句查找数据库、表以及敏感数据,比如使用SQL注入用户名、admin密码
绕过过滤,使用SQL注入能够不用密码登录
采用SQL查询语句在更安全的页面中去发现和利用SQL注入
绕过过滤和安全测量
发现和开发盲SQL注入(blind SQL injections)
使用SQL注入向服务器读取/写入文件
使用SQL注入获得对目标服务器的完全控制
快速地给SQL注入打补丁
学习编写正确SQL语句的方法来以防止SQL注入
发现基本和高级反射型XSS(reflected XSS)漏洞
发现基本和高级存储型XSS(stored XSS)漏洞
发现基于dom的XSS(DOM-based XSS)漏洞
如何使用BeEF框架(Web框架攻击平台)
使用反射型、存储型和基于DOM的XSS漏洞将受害者与BeEF挂钩
从上钩的受害者那里盗取证书
在上钩的受害者那里运行javascript代码
创建一个不可检测的木马
黑客入侵已上钩的电脑,并完全控制它们
修复XSS漏洞,作为一个用户,从这些漏洞中保护自己
暴力攻击和wordlist攻击是什么意思
创建一个单词列表或字典
进行wordlist攻击来猜测管理员的密码
使用web代理自动发现上述所有漏洞
在目标网络web服务器上运行系统命令
访问文件系统(切换目录、读/写文件)
下载、上传文件
绕过安全测量
访问同一Web服务器上的所有网站
连接数据库并执行SQL查询或将整个数据库下载到本地机器
Kali Linux
Kali Linux 2020.2
https://www.kali.org/downloads/
refs
https://www.mooc.cn/course/12981.html
Kali Linux 渗透测试!
https://blogs.xgqfrms.xyz/pages/007.html
©xgqfrms 2012-2020
www.cnblogs.com 发布文章使用:只允许注册用户才可以访问!