信息安全技术培训-渗透测试83页PPT.ppt

信息安全技术培训_渗透测试56、极端的法规，就是极端的不公。——西塞罗57、法律一旦成为人们的需要，人们就不再配享受自由了。——毕达哥拉斯58、法律规定的惩罚不是为了私人的利益，而是为了公共的利益；一部分靠有害的强制，一部分靠榜样的效力。——格老秀斯59、假如没有法律他们会更快乐的话，那么法律作为一件无用之物自己就会消灭。——洛克60、人民的幸福是至高无个的法。——西塞罗信息安全技术培训_渗透测试信息安全技术培训_渗透测试56、极端的法规，就是极端的不公。——西塞罗57、法律一旦成为人们的需要，人们就不再配享受自由了。——毕达哥拉斯58、法律规定的惩罚不是为了私人的利益，而是为了公共的利益；一部分靠有害的强制，一部分靠榜样的效力。——格老秀斯59、假如没有法律他们会更快乐的话，那么法律作为一件无用之物自己就会消灭。——洛克60、人民的幸福是至高无个的法。——西塞罗信息安全技术培训 渗透测试、演示 刘冬 2015-3-28 V1.0 什么是渗透测试 应用程序渗透测试方法 互联网攻击常见手段 金融行业安全测试 信息安全技术培训 渗透测试、演示 刘冬 2015-3-28 V1.0 什么是渗透测试 应用程序渗透测试方法 互联网攻击常见手段 金融行业安全测试 什么是渗透测试 渗透测试( Penetration Testing) 是为了证明网络防御按照预期计划正常运行而提供的一种 机制 实现原理 依据 对已知或未知漏洞测试、模拟攻击 目地 重点:降低风险、完善目前的安全策略 特点 人工检测、工具扫描、可控非破坏 什么是渗透测试 渗透测试流程 制定模方案 客户签订委托 信息收 低级漏洞 高级福洞 潜在安全隐患 获得基本权限 信息反综合 P)1 获得高级杈限 提升权限等级 匚成渗测试报告了 渗透测试 渗透测试工具 Burp Suite Http Analvzer Appscan Fiddler HP-Webinspect Fire Bug Core Impact Metasploit Http live headers Nessus SQLmap Expose 什么是渗透测试 应用程序渗透测试方法 互联网攻击常见手段 金融行业安全测试 基于Web渗透测试 信息收集 分析应用程序,会 解析应用程序 话机制、客户端控 扫描 解析 风险 测试代理 Web 配置不当 中间件等 主机 输入 SQL、XSS、RF等 识别分析与利用 Hacking OWASP TOP 10 注入漏洞 跨站脚本 失效的身份验证和回话管理 不安全的直接对象引用 CSRE 安全配置错误 不安全的加密存储 没有限制URL访问 传输层保护不足 未验证的重定向和转发 Hacking 注入漏洞——SQL注入 Select from table name where id=l Select from table name where id=l Select from table name where id=l and 1=1 Select from table name where id=l and 1=2 Select* from table name where id=l and(select ..x Injection Tools 1、 SQL Helper SQLMAP(v1.od) Hacking 注入漏洞——SQL注入 事实上,对错误信息进行封装并不一定能阻止攻击者的入侵行为 封装的错误信息,但是攻击己经形成,有攻击者能根据封装的 错误信息对攻击结果进行判断,继续实施攻击。 其实盲注就是通过封装的消息来收集攻击过程中需要的信息。 钻助 注入设置欲取扩展功的粒要包 量 6、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎　　7、自知之明是最难得的知识。——西班牙　　8、勇气通往天堂，怯懦通往地狱。——塞内加　　9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯　　10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 Thank you拯畏怖汾关炉烹霉躲渠早膘岸缅兰辆坐蔬光膊列板哮瞥疹傻俘源拯割宜跟三叉神经痛-治疗三叉神经痛-治疗