渗透技术（下篇，共上下2篇）.pptxVIP

Web应用渗透简介 随着网络的发展，越来越多的企业将应用架设在web平台上，为客户提供更为方便、快捷的服务支持。根据Gartner的调查，信息安全攻击有75%都是发生Web应用而非网络层面上。因此保护web应用安全非常重要。Web渗透测试主要是对Web应用程序和相应的软硬件设备配置的安全性进行测试。 Web应用渗透是通过模拟黑客的思维和攻击手段，对Web应用服务的弱点、技术缺陷和漏洞进行探查评估。本章旨在让读者对Web应用渗透有基本了解，包括Web应用渗透的定义、常见Web应用漏洞。前言 目录/CONTENTSWeb应用渗透基础HTTP基础原理OWASP TOP10 Web安全漏洞一般由以下几种原因造成：输入输出验证：由于用户的输入不合规或者具有攻击性的语句造成代码出错，或者不能执行预期的目标，从而导致web应用方面的漏洞。系统设计缺陷：编码逻辑上的处理不当造成的缺陷引发的漏洞。环境缺陷：应用程序在引用第三方的框架或者库之类的代码，这些第三方的程序随着时间的积累不去更新维护的话会产生一些漏洞。Web安全漏洞产生原因 一般的流程如下：Web应用渗透测试流程 明确此次Web应用渗透测试的目标，主要有以下几个方面：确定范围：测试目标的范围、IP、域名、内外网、测试账户。确定规则：能渗透到什么程度，所需要的时间、能否修改上传、能否提权等。确定需求：Web应用的漏洞、业务逻辑漏