渗透测试员如何查找Web服务器漏洞
加入东方联盟,让您掌握最前沿的技术
查找Web服务器漏洞
黑客渗透测试员会在所针对的Web服务器中找到本章描述的一些漏洞。然而,它们很可能已经升级到最新的版本,渗透测试员需要查找一些当前或最新的漏洞,利用它们攻击服务器。
在Web服务器等非定制产品中查找漏洞时,使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同,几乎所有的Web服务器都使用第三方软件,并且有无数用户已经以相同的方式安装和配置了这些软件。在这种情况下,使用自动化扫描器发送大量专门设计的请求并监控表示已知漏洞的签名,就可以迅速、高效地确定最明显的漏洞。Nessus 是一款优良的免费漏洞扫描器,还有各种商业扫描器可供使用,如 Typhon 与 ISS。
除使用扫描工具外,渗透测试员还应始终对所攻击的软件进行深入研究。同时,浏览Security Focus、邮件列表Bugtrap和Full Disclosure等资源,在目标软件上查找所有最近发现的、尚未修复的漏洞信息。
还要注意,一些Web应用程序产品中内置了一个开源Web服务器,如Apache或Jetty。因为管理员把服务器看作他们所安装的应用程序,而不是他们负责的基础架构的一部分,所以这些捆绑服务器的安全更新也应用得相对较为缓慢。而且,在这种情况下,标准的服务标题也已被修改。因此,对所针对的软件进行手动测试与研究,可以非常有效地确定自动化扫描工具无法发现的漏洞。
如有可能,渗透测试员应该考虑在本地安装所攻击的软件,并自己进行测试,查找任何尚未发现或广泛流传的新漏洞。
原文地址:http://vm888.com/showinfo-17-40161-0.html
来源:东方联盟,欢迎分享(公众号:vm888Com)
>更多相关文章
- 01-092023年的四大网络风险以及如何应对
- 01-09操作系统/虚拟化安全知识域:攻击者模型
- 01-09操作系统/虚拟化安全知识域:操作系统及其设计在安全中的作用
- 01-092022年全球勒索赎金TOP 10
- 03-06俄乌冲突快讯:乌克兰网站被攻击数量超十倍
- 02-23开放式银行创新:开发人员与网络犯罪分子之间的竞赛
- 02-23数据泄露后信息会怎样?
- 02-23四个首创 冬奥网络安全“黑科技”面面观
首页推荐
佛山市东联科技有限公司一直秉承“一切以用户价值为依归
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 10-29同程旅行回应酒店订单“订后即焚” 将考虑是
- 10-29阿里国际站发布全流程AI产品 推进更高效经营
- 10-25亿纬锂能第33工厂首颗圆柱电池下线
- 10-25外媒称苹果正开发 iOS 游戏中心
- 10-25快递业展现强劲发展韧性,单日业务量创历史
相关新闻
24小时热门资讯
24小时回复排行
热门推荐
最新资讯
操作系统
黑客防御