常規滲透就是指,公司去找第三方安全公司與第三方安全公司簽訂安全保密協定,然後讓第三方公司對自己的產品做安全測試,並讓安全公司給自己的產品出具安全報告。
一般的常規滲透都是對指定的某個產品在規定的範圍內進行,也就是又針對性的目標和範圍。常規滲透的流程如下圖:
非常規滲透:如apt攻擊和紅藍對抗,這種滲透通常是為了獲取利益或者破壞為主,它沒有邊界和指定的目標。非常規滲透流程圖如下:
滲透的方面又哪些呢?
滲透測試一般是通過系統層,網路層,應用層這三方面進行。
版本線:91年發布0.9,只有get請求
96年發布1.0版本,增加了post請求和head請求.
97年發布1.1版本,現在的網上使用最多的乙個版本,它的最大的改變是引入了持久連線,即tcp連線預設不關閉,可以被多個請求復用。同時,新增加了options,put,delete,trace,connect五種請求方法。
掃瞄**的方法:由於常規的get請求,需要伺服器的內容返回,這就會導致掃瞄很慢;所以一般的情況下,都會採用head請求的方式,對整個**進行掃瞄。這種方式不需要等待伺服器的返回結果,就可以獲取到所有的可訪問路徑情況。
http狀態碼:
2xx:成功訪問
3xx:重定向
4xx:訪問失敗,一般為訪問的資源不存在(404)訪問的資源不允許或者沒有許可權(403)等
5xx:指服務端錯誤,一般這個跟後端的服務配置有關。
http的頭部資訊(header)
關於HTTP協議的理解
眾所周知,internet 的基本協議是 tcp ip 協議,目前廣泛採用的 ftp archie gopher 等是建立在 tcp ip 協議之上的應用層協議,不同的協議對應著不同的應用。www伺服器使用的主要協議是 協議,即超文體傳輸協議。由於 協議支援的服務不限於 www,還可以是其它服務,因...
HTTP協議的理解
web api介面 大都是基於 http 協議的,所以,要進行介面測試 首先要了解 http 協議 的 基礎知識。http 協議 全稱是 超文字傳輸協議,英文是 hypertext transfer protocol http協議最大的特點是通訊雙方分為客服端和服務端,雙方進行資訊的互動。目前,ht...
關於Http協議的解析
http概述 http hypertext transport protocol 即超文字傳輸協議。這個協議詳細規定了瀏覽器和全球資訊網伺服器之間互相通訊的規則。http就是乙個通訊規則,通訊規則規定了客戶端傳送給伺服器的內容格式,也規定了伺服器傳送給客戶端的內容格式。其實我們要學習的就是這個兩個格...