滲透測試中, 在我們進行http的請求修改的時候,我們應該對其中的一些特殊字元進行注意,例如:如果我們要在資料中加入
1.&,=,?等的時候要轉換為%26,%3的,%3f。
此外說一說空格,空格是用來表示url的結束,我們也得將其編碼為%20或者+
所以當我們遇見+號的時候,要對其進行編碼,編碼成%2b;等等,我們要考慮的還有很多。
2.當我們在請求的時候,我們的%00可能會變成%2500,其中%編碼成了%25,他們把%當成了是輸入物件,所以我們要看清楚我們的url具體的值。
3在我們做測試的時候,可能我們之前做的測試對下面做的測試有影響,所以我們還是要從新開始,例如開乙個新的瀏覽器,或者是將快取和cookie清楚,或者用burp的repeater工具來從新傳送這些資料。
4在一些應用程式中我們可能會遇見一些多個伺服器來達到負載均衡的目的,從而我們可能只是攻擊了其中一台伺服器,所以我們要多發幾次,從而對各個伺服器都要進行測試。
首先確定測試範圍,測試的主機名,url,了解功能,並且要求他們要備份 資料。
Web滲透測試
web滲透測試簡介 常見web安全漏洞 常見的web安全漏洞如下圖所示 1.輸入輸出驗證 由於使用者的輸入不合規或者具有攻擊性的語句造成 出錯,或者不能執行預期的目標,從而導致web應用方面的漏洞。2.系統設計缺陷 編碼邏輯上的處理不當造成的缺陷引發的漏洞。3.環境缺陷 應用程式在引用第三方的框架或...
WEB滲透測試 資訊收集
前言 該文章描述了web滲透測試之前的準備階段,即資訊收集階段所需要的了解的內容 2020 01 08 天象獨行 0x01 whois資訊 whois是查詢網域名稱是否被註冊,其中包含的資訊有網域名稱所有人,網域名稱註冊商等。查詢方式 1 站長之家 2 天眼查 0x02 子網域名稱收集 收集意義 通...
web滲透測試基本步驟
基本常見步驟 一 資訊收集 要檢測乙個站首先應先收集資訊如whois資訊 真實ip 旁註 c段 伺服器系統版本 容器版本 程式版本 資料庫型別 二級網域名稱 防火牆 維護者資訊有哪些等等 二 收集目標站註冊人郵箱 1.用社工庫里看看有沒有洩露密碼,然後嘗試用洩露的密碼進行登入後台。3.利用搜尋到的關...