Web安全入门实践

写在最前 仅献给所有打算入门信息安全,正在入门信息安全的你们,希望能抛砖引玉 入门的概念,因人而异,有些觉得会用一些工具按照教程敲敲跟着网上新出的漏洞下个exp随便找个目标打打就算入门,有些觉得理论工具流程走完了知识面开始逐渐扩大了还没能 …

0x04 OTG-AUTHN 认证测试

0x04 OTG-AUTHN 认证测试 加密信道传输凭证测试(OTG-AUTHN-001) 综述 用户凭证是否加密传输 传输信道是否加密 传输信道是否能够被嗅探 HTTPS建立在TLS/SSL之上,弱SSL/TLS 如何测试 黑盒 通过HTTP使用POST方法发送数据 通过HTTPS …

0x03 OTG-IDENT 身份鉴别管理测试

0x03 OTG-IDENT 身份鉴别管理测试 角色定义测试(OTG-IDENT-001) 综述 大多数系统至少存在两个角色 管理员:允许访问特权功能和敏感信息 普通用户:允许访问常规业务功能和信息 测试目标 验证应用的角色有效区分,并区别相应的权限 如何测 …

0x02 OTG-CONFIG 配置以及部署管理测试

0x02 OTG-CONFIG 配置以及部署管理测试 网络基础设施配置管理测试(OTG-CONFIG-001) 综述 在测试配置管理设置中可能用到的步骤 应确定组成基础设施的不同元素,及这些元素与Web应用如何交互,对安全会造成什么影响 审查所有组成基础设施的 …

0x01 OTG-INFO 信息收集

0x01 OTG-INFO 信息收集 搜索引擎信息发现和侦察(OTG-INFO-001) 综述 直接:直接查询索引或从缓存中获取内容 间接:从论坛、新闻组和其他相关网站发现敏感信息和配置信息 测试目标 了解公网上的敏感设计和配置信息 如何测试 …