Web渗透测试——透过攻击看防御.PDFVIP

第3章 Web渗透测试——透过攻击看防御 黑客与安全技术指南 何谓Web渗透测试（Penetration Test ）？相信大家对Web都不陌生，渗透测试一般是指 通过模拟黑客的恶意攻击，来评估计算机网络系统的安全性，若发现系统存在漏洞，则提 交渗透报告给被测试系统的拥有者，并提供修复方案。本章将通过对Web应用及服务器的 渗透测试，带各位详细了解渗透测试的方法和技能。 本章知识涉及的内容较为分散，希望读者能够掌握学习技巧，务必亲自动手实践， “熟”方能生“巧”。 3.1 渗透信息搜集 信息搜集是Web渗透的第一步，也是至关重要的一步（实际上除了Web渗透，很多工 作的第一步都是信息搜集）。一次完整的渗透过程是漫长的，前期信息搜集可以让人们初 步了解渗透目标，而后期信息搜集却往往是成功的关键。任何攻击与防御之间的较量，都 是基于信息的掌控程度，在信息不对等的情况下，很容易出现误判或失误。在安全行业团 队的测试中，信息搜集被视为“最重要，最耗时”的一个步骤，甚至有专门的成员负责信 息的搜集与分析。下面我们来了解一些常用的信息搜集技巧（这里使用的词语是“