網路滲透測試-保護網路安全的技術,工具和過程-第六章1

第6章 攻擊WEB伺服器

HTML作為滲透測試人員,對HTML了解得越深入,就能夠越好,越快地理解頁面的內容.DHTML動態HTML,它通過支持控制客戶端瀏覽器中WEB頁面來對標準的HTML進行了擴展.例如,當我們訪問某個網站時,看到這個網站上的網頁能夠更換圖像,彈出對話框,當滑鼠指針移到上面去時鏈接改變顏色等,那麼基本上可以肯定,這個網站使用了DHTML.由於DHTML能夠增強用戶的體驗,因此幾乎所有的大中型網站都使用了它.XML經ML用於描述,存儲和交換數據,這樣,使得各種類型平台上的數據具備了相互理解的能力.在出現XML之前,當兩個系統交換數據時,系統或應用程序以只有這兩個系統能夠理解的格式發送數據,這類數據格式的一個典型示例是以逗號分隔值的文件格式(Comma-Separated Value, CSV).CSV格式的文件採用逗號或Tab字元分隔原始數據.當我們打開一個別人創建的CSV文件時,如果沒有人為我們說明這個文件,那麼我們就很難理解這個文件中數據的意義.而在XML中,它描述了數據,因此易於被理解.XML格式包含兩個部分內容:一部分是包含數據的文檔部分;另一部分是描述文檔中所存儲數據的數據類型的文檔類型定義部分.XHTMLXHTML是一種為適應XML而重新改造的HTML.是HTML 4.0的後續版本.也是HTML 4.0的重新組織.XHTML就是一種XML應用.它採用XML的DTD文件格式定義,並運行在支持XML的系統上.瀏覽器製造商不需要再創造新的私有標籤,他們只需要在XHTML代碼里包含XML代碼片段,或者XML代碼里包含XHTML代碼片段.XHTML的當前版本是1.0.雖然目前使用它的網站還不多,但它是未來的發展趨勢.作為滲透測試人員,應該關注XHTML的內容及其發展,從而尋找新的安全漏洞.JavaScript一種腳本語言,與Java無任何關係.是一種客戶端的解釋語言.已經成為WEB頁面開發者和瀏覽器廠商運用的客戶端腳本編程的標準.這個語言支持在WEB頁面上直接與用戶交互而無需在客戶端和伺服器之間交換數據,例如,所有類型煩人的彈出窗口,警告框,評估電子郵件地址有效性的表單或許都是某些編寫很好的JavaScript代碼的成果.可以這麼說,只有想不到的,沒有做不到的.JavaScript幾乎有無限的能力我們也可以把JavaScript代碼放在一個單獨的文件中.這種方法讓開發人員能夠在多個頁面之間共享相同的代碼.稱為外部JavaScript. JavaScript通常在客戶端應用.這樣黑客就可以手工修改這些代碼.當我們在攻擊某個網站,需要發送數據,而網頁又阻止我們發送數據時,就可以在本地修改相關的JavaScript代碼,從而進一步繼續我們的滲透測試.JScript


推薦閱讀:

茶的沏泡技術
黃歡(北京歡否信息技術有限公司創始人兼CEO)
拼布技術之壓線
均線逐浪上升形技術圖形(圖解)
創新不必驚人技術

TAG:網路安全 | 安全 | 技術 | 測試 | 工具 | 滲透測試 | 保護 | 網路滲透 | 網路 |