Anna艷娜
2
CISO
高級信息系統項目管理師
PMP
Anna艷娜2
CISO
高級信息系統項目管理師
PMP
滲透測試中存在漏洞利用的情況有以下這些:
會經常遇到蓄意的錯誤或不完整的源代碼,因此有經驗的開發人員盡量讓漏洞遠離沒有經驗的用戶,尤其是試圖破壞系統但又不清楚自己行為將帶來什么風險的新手。
漏洞利用并不總是有詳盡的文檔解釋;畢竟,沒有一個標準用于管理數據系統攻擊代碼的創建和使用。作為一個結果,實踐往往較為困難,特別是對于缺乏應用開發的測試者。
由于環境變化導致行為不一致(新的補丁應用到目標系統、目標應用程序中的語言變化)可能需要對源代碼進行重大調整;這需要一個有經驗的開發人員。
免費提供的、包含惡意的代碼,總是存在風險。滲透測試人員可能會認為他是在進行概念驗證(POC)練習,并不知道該代碼同時為該應用程序建了一個后門,可以供開發者使用。
網頁錯誤的返回代碼,很多開發者沒有將網頁的錯誤返回代碼進行隱藏,這樣就可以從返回信息中發現網站使用的服務器版本或者中間件的版本,通過這些中間件或者服務器版本去網絡上查找相應版本的漏洞來嘗試利用。
推薦文章
