1.渗透测试基础

• 目录

渗透测试介绍

渗透术语介绍

测试环境配置

HTTP协议讲解

---

• 透测试介绍

        1.介绍

          渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。

        2.渗透测试流程

1 确定目标        2 信息收集        3 漏洞探测        4 漏洞利用       

5 信息分析        6 获取所需        7 编写报告        8 信息整理

• 渗透术语介绍

1、脚本（asp、php、jsp）  

        ASP（Active Server Pages）微软的Windows IIS系统自带的脚本语言，利用它可以执行动态的Web服务应用程序

        PHP（Hypertext Preprocessor）是一种嵌入HTML页面中的脚本语言。

        JSP（JavaServer Pages）是Sun公司推出的JSP技术是以Java语言作为脚本语言的一种动态网页技术。

2、html（css、js、html）

        JavaScript是一种脚本语言，即可以运行在客户端也能运行在服务器端。JavaScript的解释器就是JS引擎，JS引擎是浏览器的一部分。而JavaScript主要是用来扩展文档交互能力的，使静态的HTML具有一定的交互行为（比如表单提交、动画特效、弹窗等）。JavaScript是用来做交互的。

        CSS是用来修饰内容样式的（重在内容样式美化展示上）。CSS是层叠样式表的简称，它用来表现HTML文件样式的，简单说就是负责HTML页面中元素的展现及排版。

       HTML是用来标记内容的（重在内容组织上）。HTML是超文本标记语言的简称，它是一种不严谨的、简单的标识性语言。它用各种标签将页面中的元素组织起来，告诉浏览器该如何显示其中的内容。为什么说HTML是不严谨的呢？因为HTML标签即使不闭合，也并不会影响页面内容的组织。