Web渗透测试攻略(中)

指纹识别是web应用程序测试的第一个步骤。指纹识别会给测试者提供很多有用的信息,某种程度上暴露其他漏洞的脆弱性,更容易实施成功的漏洞攻击。识别web服务器是为了尝试检索尽可能多的有关服务器的信息,有以下几点:服务器的名字和版本后台是否用了应用程序服务器后台用的数据库,数据库和服务器是不是在同一机器上是否使用反向代理负载均衡策略运用哪种程序设计语言检索服务器的名字和版本通过检查http头就很容易得到:你也可以用一个假的主机头(或者IP)来获取默认的虚拟主机以进一步获取更多的信息在指纹识别过程中要做的另一件事是简单的浏览下该网站,发现一些有意思的网站功能:上传下载功能认证表单和链接:登陆,登出,密