51CTO订阅专栏 Web网站安全评估分析及防御 ...

微信扫一扫 体验手机阅读

30篇  36天更完 66人已订阅

专栏介绍

今天网络安全越来越受到重视,老牌有实力的企业,对安全投入较多,且较早建立安全团队,但对于一些初创企业,知道安全很重要,但不知道如何下手?


本专栏将系统化介绍如何利用主流扫描工具来进行漏洞的发现,对一些高危漏洞进行分析及利用还原,并给出防御方法。同时本专栏还介绍一些常见的开源cms漏洞及其利用总结,对加强企业网站安全管理、安全运维和安全开发具有一定的建设意义。

博客小助手新微信~~~~~.jpg

51CTO社区•13周年庆  

你学专栏 我送书 技术图书任意选


专栏入口


专栏订阅成功后,即可通过以下三个途径永久阅读

1.“51CTO”微信服务号端

2.“51CTO博客”web端

3.“51CTO学院”Android App端

适用人群

1.安全测试人员
2.所有互联网个人用户
3.网络安全管理维护人员
4.对安全感兴趣的在校学生

作者介绍

simeon2005

人气733W+ 文章1770 粉丝1037

陈小兵
高级工程师,18年网络安全经验。累计出版9本网络安全著作,发表20余篇期刊论文,曾被首都师范大学聘为信息安全授课老师。

订阅说明

1.本专栏为图文专栏,共计30篇
2.专栏定期更新,每周至少更新一篇
3.专栏一经订阅永久阅读, 可与作者留言互动
4.本专栏为虚拟产品,一经订阅,概不退款,请慎重订购
5.专栏阅读过程中,如有任何问题请联系51CTO小助手(微信:cto51boke/QQ:3591348659)

学习本专栏您能收获什么

1.高危漏洞分析防御方法
2.使用主流扫描工具发现漏洞
3.常见开源cms漏洞及其利用总结
4.加强企业网站安全管理、安全运维和安全开发

专栏目录

  • 1.目标域名(子域名)及信息收集

    目标域名(子域名)及信息收集概要在进行渗评估测试时,评估方给定一个目标域名后,我们需要对其进行详细的信息收集,就跟行军打仗一样,我们需要明白作战地点、敌方将帅等信息,做到知己知彼,才能百战不殆。

  • 2.Web网站CMS指纹识别技术及应用

    在web安全验证过程中,对目标网站的指纹识别比较关键,通过工具或者手工来识别CMS系统是自建还是二次开发,还是直接使用公开的CMS程序至关重要。通过获取的这些信息来决定后续***的思路和策略。CMS指纹识别是***测试环节一个非常重要的阶段,是信息收集中的一个关键环节。

  • 3.Nmap端口扫描及应用

    Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具,软件名字Nmap是Network Mapper的简称。Nmap最初是由Fyodor在1997年开始创建的,它主要用来扫描网上计算机开放的网络连接端,确定运行的服务,并且可以推断计算机运行哪个操作系统(这是亦称 fingerprinting),系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,Nmap后续增加了漏洞发现和暴力破解等功能。随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。

  • 4.使用AWVS扫描网站漏洞及防御

    AcunetixWebVulnerabilityScanner(简称AWVS)是一个网站及服务器漏洞扫描软件,它包含有收费和免费两种版本,该软件为国外著名的扫描软件之一,曾经被列为最为流行

  • 5使用Router Scan扫描路由器密码及安全防范

    RouterScan是一款路由器安全测试工具,可以指定IP段对路由器进行暴力破解等安全测试,支持多种TP-LINK、Huawei、Belkin、D-Link等各大品牌型号的路由器,它是俄罗斯安全人员开发的一套安全测试工具,目前已经对源代码进行开源

  • 6.MySQL口令扫描安全验证测试与防范

    对于MySQL数据库安全验证来说,获取其口令至关重要,一般来讲数据库不会提供对外连接,安全严格的将会限制固有IP和本机登录数据库,但安全验证就是发现各种例外!抱着研究的目地,将目前市面上主流的7款MySQL口令扫描工具进行实际测试,并给出了实际利用场景的具体命令,在进行安全验证测试时,具有较高的参考价值

  • 7.使用JSky扫描并测试某管理系统

    在本专栏中推荐使用Jsky的理由是,jsky比较适合国人的口味,作为国内能够免费获取的商业扫描工具,曾经一段时间基本都有Jsky来扫描网站漏洞,缺点是断更了!一个产品好用还不行,还得有市场,要能挣钱!

  • 8.使用WebCruiser扫描网站漏洞及防御

    Webcruiser是一款英文版的漏洞扫描工具,体积小,支持多种漏洞扫描,扫描到漏洞的同时可以直接对漏洞进行验证测试。

  • 9.利用BurpSuite进行漏洞扫描及分析

    BurpSuite是用于测试Web应用程序安全的集成平台,它包含了许多工具,这些工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起安全威胁。

  • 10.web后台登录口令暴力破解及防御

    在实际网络安全评估测试中,前台是给用户使用,后台是给网站管理维护人员使用,前台功能相对简单,后台功能相对复杂,可能保护媒体文件上传,数据库管理等。

  • 11.Tomcat后台管理账号扫描利用及防御

    目前很多大型网站和公司都采用Java做为支撑,Tomcat是应用(Java)服务器,它只是一个servlet容器,是Apache的扩展,其后台管理功能非常强大,可以用来直接部署war文件。

  • 12.web目录扫描及防御

    Web目录扫描及暴力破解是安全验证信息收集重要一步,有些目标网站会存在目录信息泄露,通过浏览目录,可以查看目录下的文件,有的文件可以直接下载和访问,有时候访问一些文件还会爆出网站的真实物理路径。

更多订阅专栏推荐

更多
试读 ¥51.00/订阅领图书

已自动为您匹配最优优惠券

不使用优惠券

¥ []

总金额:¥51(已优惠¥)

去支付