首页 >> 网络安全 >>渗透测试 >> Web服务器渗透测试清单
详细内容

Web服务器渗透测试清单

Web服务器笔测试执行3个主要类别,即身份,分析,报告漏洞,如身份验证弱点,配置错误,协议关系漏洞。


1.进行一系列有条理且可重复的测试”是测试Web服务器的最佳方法,以便处理所有不同的应用程序漏洞。

2.关于组织的“尽可能多地收集”从操作环境开始,主要关注Web服务器笔测试的初始阶段。

3.执行Web服务器身份验证测试,使用社交工程技术收集有关人力资源,联系人详细信息和其他社交相关信息的信息。

4.收集有关目标的信息,使用whois 数据库查询工具获取详细信息,如域名,IP地址,管理详细信息,自治系统编号,DNS等。

5.指纹Web服务器收集服务器名称,服务器类型,操作系统,服务器上运行的应用程序等信息,使用指纹扫描工具,如Netcraft,HTTPrecon, ID Serve。

6.抓取网站 以从网页收集特定信息,例如电子邮件地址

7.枚举Web服务器目录  以提取有关Web功能,登录表单等的重要信息。

8.执行目录遍历攻击以访问受限制目录,并从Web服务器根目录外部执行命令。

9.执行漏洞扫描以识别网络中的弱点,使用漏洞扫描工具,如HPwebinspect,Nessus。并确定系统是否可以被利用。

10.执行我们缓存中毒攻击以强制Web服务器的缓存刷新其实际缓存内容并发送将存储在缓存中的特制请求。

11.执行HTTP响应拆分攻击,将恶意数据传递给易受攻击的应用程序,该应用程序包含HTTP响应头中的数据。

12.Bruteforce SSH,FTP和其他服务登录凭据以获得未经授权的访问。13.执行会话劫持以捕获有效的会话cookie和ID,使用Burb等工具套房, Firesheep,jhijack以自动会话劫持。

14.通过拦截改变最终用户和Web服务器之间的通信,执行MITM攻击以访问敏感信息。

15.使用webalizer,AWStats等工具检查Web服务器日志。


技术支持: 建站ABC | 管理登录