今天小编和大家分享web渗透防御方法经验,希望对大家有所帮助。
工具/原料
PC
方法/步骤
1
首先任何攻击与防御之间的较量,都 是基于信息的掌控程度,在信息不对等的情况下,很容易出现误判或失误。在安全行业团 队的测试中,信息搜集被视为“最重要,最耗时”的一个步骤,甚至有专门的成员负责信 息的搜集与分析。
2
XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。
4
信息搜集技巧: 3.1.1 服务器信息搜集 。 旁站,就是一个服务器上有多个Web站点,而我们的渗透目标是其中的一个 Web站点,当我们无法拿下目标站点时,则可以尝试对服务器上的其他站点进行渗透,然后再通过跨目录或提权等方法拿下目标站点。
5
然后常见的旁站查询流程:(1)获得渗透目标的真实IP地址。 (2 )利用网站平台、工具反查IP地址。 端口扫描 一台计算机开放的端口和它开放的服务是对应的,而渗透测试人员可以通过端口扫描 大致了解目标开放了哪些服务。
注意事项
如有不明者,还请咨询专业人士。