Red de Respuestas Legales - Directorio de abogados - ¿Cómo realizar pruebas de penetración de seguridad en un sitio web?

¿Cómo realizar pruebas de penetración de seguridad en un sitio web?

Recopilación de información:

1. Obtenga la información whois del nombre de dominio y obtenga la dirección de correo electrónico, el nombre y el número de teléfono del registrante.

2. Consultar sitios del lado del servidor y sitios de subdominio. Debido a que el sitio principal es generalmente más difícil, primero verifiquemos si hay algún CMS común u otras vulnerabilidades en el sitio secundario.

3. Verifique la versión del sistema operativo del servidor y el middleware web para ver si hay vulnerabilidades conocidas, como vulnerabilidades de análisis de IIS, Apache y Nginx.

4. Verifique la IP, escanee el puerto de la dirección IP y detecte vulnerabilidades en el puerto de respuesta, como rsync, heartbleed, mysql, ftp, ssh, contraseñas débiles, etc.

5. Escanee la estructura de directorios del sitio web para ver si puede atravesar directorios o filtrar archivos confidenciales, como detectores de php.

6.El hack de Google detecta aún más la información, el fondo y los archivos confidenciales del sitio web.

Escaneo de vulnerabilidades:

Comience a detectar vulnerabilidades, como XSS, XSRF, inyección SQL, ejecución de código, ejecución de comandos, acceso no autorizado, lectura de directorio, lectura de archivos arbitrarios, descarga, inclusión de archivos. , ejecución remota de comandos, contraseñas débiles, cargas, vulnerabilidades del editor, craqueo por fuerza bruta, etc.

Explotación de vulnerabilidades:

Utilice el método anterior para obtener webshell u otros permisos.

Elevación de permisos:

Servidor de elevación de energía, como udf power lifting de mysql en Windows.

Limpieza de Registros:

Lo que debes hacer para finalizar la prueba de penetración y borrar tus rastros.

Informe resumido y plan de mantenimiento:

El informe incluye:

1. Un resumen general de la prueba de penetración del sitio web. Se descubrieron varias vulnerabilidades, incluidas varias altas. -vulnerabilidades de riesgo, varias vulnerabilidades de riesgo medio y varias vulnerabilidades de bajo riesgo.

2. Describa la vulnerabilidad en detalle, como qué tipo de vulnerabilidad, nombre de la vulnerabilidad, peligros de la vulnerabilidad, método de visualización específico de la vulnerabilidad, cómo reparar la vulnerabilidad, etc.

上篇: ¿Qué tal el bufete de abogados Yingke en Yangzhou? 下篇: ¿Cobra Community Legal Aid?

Artículos populares