Web 應用攻擊方法有哪些階段

web應用攻擊方法有以下這些階段：

• 設定目標階段：在滲透測試中設置正確的目標是非常重要的，因為攻擊者將更多地關注特定的脆弱系統，以獲得基于kill-chain方法的系統級訪問。

• 爬蟲和枚舉階段：在此階段，攻擊者已經確定了Web應用程序的列表，以深入挖掘特定的漏洞。利用多種方法將爬蟲應用于各種網頁，并發現與之相關的東西進入下一階段。

• 漏洞掃描階段：在這個階段，所有已知的漏洞都是從眾所周知的漏洞數據庫收集而來，這些數據庫具有公開的漏洞或已知的常見安全錯誤配置。

• 利用階段：該階段用戶可以利用已知和未知的漏洞，包括應用程序的業務邏輯。例如，如果一個應用程序管理界面被曝光，這個應用是脆弱的。攻擊者可以直接試著訪問接口執行各種類型的攻擊，如密碼猜測、蠻力攻擊，或利用特定管理界面漏洞（JMX控制臺攻擊管理界面，無須登錄和部署特別文件，并且運行一個遠程shell）。

• 覆蓋痕跡階段：在這個階段，攻擊者通過跟蹤他們前進的每一步來清除所有的證據。例如，如果一個系統已經被上傳文件漏洞和服務器上執行的遠程命令破壞了，那么攻擊者將嘗試清除應用服務器日志、Web服務器日志、系統日志和其他日志。

• 維持訪問階段：當痕跡被覆蓋時，要確保沒有日志被留下用于追溯到入侵的源地址。攻擊者可能會利用系統執行特權升級，或可以使用系統作為一個僵尸來執行更多的內部攻擊，如在共享的驅動器上傳播勒索軟件，或者將受害系統都加到一個域，在更大組織的情況下控制這個企業域。

回答所涉及的環境：聯想天逸510S、Windows 10。