渗透测试

一、概念

渗透测试（pen testing）& 漏洞评估（vulnerability assessment）

1.漏洞评估：检查系统及服务是否存在潜在的安全问题

2.渗透测试：通过执行漏洞和攻击系统来证明有安全隐患

白帽(white hat hacking)$黑帽(hacking)

1.两者之间最直接的区别就是是否经过授权。

2.白帽的目的是帮助机构提高安全性，黑帽的目的是通过敲诈报复等手段获取利益。

【袁炜&世纪佳缘】

主站：http://www.wooyun.org/

镜像：http://wy.hx99.net/

【i春秋】：http://www.ichunqiu.com/newRelease/darrPath/53

I春秋

二、流程

渗透测试一般流程

三、安全测试工具

Burpsuit ：https://portswigger.net/burp/download.html

burpsuit下载

四、burpsuit安装

1.下载并安装jdk

2.配置环境变量与CLASSPATH值

   2.1首先，找到刚才JDK的安装目录

   2.2然后，回到桌面，计算机-右键-属性，然后，选择左边的高级系统设置

   2.3进入环境变量设置，可以点击下面的添加按钮，添加相关的环境变量，也可以对已经存在的环境变量进行删除和修改

   2.4接着，点击上面的新建按钮，添加一个名为JAVA_HOME的环境变量，对应环境变量值为你刚才电脑安装JDK的路径

   2.5输入完成后，点击保存，即可保存JAVA_HOME环境变量。然后，找到系统变量中名为Path的环境变量，选中，并按“编辑”按钮

   2.6在Path环境变量的末尾添加如下值： ;%JAVA_HOME%\bin （前面有个分号哦）

  2.7最后，还需添加CLASSPATH环境变量。新建一个名为CLASSPATH的环境变量，然后，输入如下值： .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar; （前面有个圆点和一个分号哦，圆点代表当前路径） 然后点击保存

   2.8最后，点击窗口中的确认，依次退出。退出之后按Windows键+R，输入CMD运行Dos窗口，在窗口中输入命令： javac -version ，可以看到当前JDK是否安装成功，及其版本号

四、burpsuit使用介绍

1.Target(目标)——显示目标目录结构的的一个功能

2.Proxy(代理)——拦截HTTP/S的代理服务器

3.Spider(蜘蛛)——应用智能感应的网络爬虫

4.Scanner(扫描器)——高级工具，执行后，它能自动地发现web应用程序的安全漏洞

5.Intruder(入侵)——一个定制的高度可配置的工具，对web应用程序进行自动化攻击

6.Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具

7.Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性工具

8.Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具

9.Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”

10.Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能

11.Options(设置)——对Burp Suite的一些设置