渗透测试员如何查找Web服务器漏洞
加入东方联盟,让您掌握最前沿的技术
查找Web服务器漏洞
黑客渗透测试员会在所针对的Web服务器中找到本章描述的一些漏洞。然而,它们很可能已经升级到最新的版本,渗透测试员需要查找一些当前或最新的漏洞,利用它们攻击服务器。
在Web服务器等非定制产品中查找漏洞时,使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同,几乎所有的Web服务器都使用第三方软件,并且有无数用户已经以相同的方式安装和配置了这些软件。在这种情况下,使用自动化扫描器发送大量专门设计的请求并监控表示已知漏洞的签名,就可以迅速、高效地确定最明显的漏洞。Nessus 是一款优良的免费漏洞扫描器,还有各种商业扫描器可供使用,如 Typhon 与 ISS。
除使用扫描工具外,渗透测试员还应始终对所攻击的软件进行深入研究。同时,浏览Security Focus、邮件列表Bugtrap和Full Disclosure等资源,在目标软件上查找所有最近发现的、尚未修复的漏洞信息。
还要注意,一些Web应用程序产品中内置了一个开源Web服务器,如Apache或Jetty。因为管理员把服务器看作他们所安装的应用程序,而不是他们负责的基础架构的一部分,所以这些捆绑服务器的安全更新也应用得相对较为缓慢。而且,在这种情况下,标准的服务标题也已被修改。因此,对所针对的软件进行手动测试与研究,可以非常有效地确定自动化扫描工具无法发现的漏洞。
如有可能,渗透测试员应该考虑在本地安装所攻击的软件,并自己进行测试,查找任何尚未发现或广泛流传的新漏洞。
原文地址:http://vm888.com/showinfo-17-40161-0.html
来源:东方联盟,欢迎分享(公众号:vm888Com)
>更多相关文章
- 03-02网络安全编程:多线程编程基础知识
- 03-02一种基于签名算法且简单安全的API授权机制
- 03-02基于 Go 编写的恶意软件数量激增 2000%
- 03-02安全研究人员在LastPass发现7个跟踪器
- 03-02黑客利用Firefox恶意扩展窃取Gmail数据
- 03-02僵尸网络利用比特币区块链来隐藏恶意活动
- 03-31警惕:各种规模DDoS攻击全面增加
- 03-31解答很重要的IoT风险管理问题
首页推荐
佛山市东联科技有限公司一直秉承“一切以用户价值为依归
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 03-04今年苹果WWDC大会极有可能也采用录播形式举
- 03-04它只用了200秒 就完成了超算6亿年的计算量
- 03-04今年家电出口还能继续“牛”吗
- 03-04自动计算算法首次实现“虚拟展信”
- 03-02网络安全编程:多线程编程基础知识
相关新闻
24小时热门资讯
24小时回复排行
热门推荐
最新资讯
操作系统
黑客防御