WEB2.0下的渗透测试.pptVIP

WEB2.0下的渗透测试 5up3rh3i@ WEB1.0下的渗透测试 通过web服务器漏洞直接溢出得到cmdshell iis60day.bin –t –p 80 通过web应用程序传统漏洞得到webshell 传统漏洞是指作用于web服务端语言的漏洞如上传、sql注射、包含等。 phpwind0day.php –t –p 80 主要特点 属于服务端攻击，攻击效果“直截了当”，还是目前主流的渗透测试方式，但是寻找漏洞成本越来越高，安全产品的应用使利用越来越困难！ 关于WEB 2.0 Web2.0一种相对概念,提倡的是高亲和力的交互应用，主体是用户之间用户与网站之间的互动。 Web2.0的核心注重的不仅是技术，而更注重的设计思想。 AJAX技术的诞生标着web进入2.0时代，也是其核心技术 web2.0更注重互动的设计思想 如博客、wiki、sns网络等诞生 Web2.0下的渗透继承了web2.0的特点：思想更重要！ WEB2.0下的渗透测试 攻击的目标 主要的攻击方式：XSS、CSRF、第三方内容劫持、Clickjacking等。 攻击方式的趋势走向 攻击成功后的效果 现有的认识 几个渗透小故事 攻击的目标 与WEB1.0相比，WEB2.0渗透是针对客户端的攻击。