第 6 章 Web攻击
本章重点讨论基于因特网的攻击。公司的安全管理员一般都知道因特网上有一些恶意群体,他们会持续不断地寻找对网络进行渗透的方式。作为防御,管理员要采取一些安全措施,常见的包括防火墙、IPS/IDS、基于主机的安全产品(如反病毒程序)、内容过滤器等。过去,这些防御方式还足够用,不过,现今威胁已经变得越来越复杂,甚至能绕过商业安全产品或“COTS”安全解决方案。本章介绍的工具会包含Kali Linux中的方法,用于绕过位于远程位置的标准安全防御措施。
本章将把渗透测试人员攻击工具集中的工具介绍完。通过前几章的学习,你应该已经懂得如何完成对目标的侦察,找出服务器端和客户端的漏洞,以及如何对它们进行漏洞利用了。本章将会介绍将Web应用用作前端的情况下的最后一类攻击。此外,我们还会探索如何利用Web服务器自身来通过漏洞利用危害Web应用,比如浏览器漏洞利用攻击、代理攻击和密码搜集。我们还会介绍如何使用拒绝服务攻击技术来中断服务。