web渗透测试----30、0day漏洞
2023-09-11 14:17:06 时间
什么是0day
0day又称“零日漏洞”(zero-day)。0day的含义为破解,最早的破解是专门针对软件的,叫做WAREZ。
0表示zero,早期的0day表示软件在发行的24小时之内就出现破解版本。现在一般指的是没有公开,没有补丁的漏洞。
零日攻击或零时差攻击则是指利用这种0day漏洞进行的攻击。0day漏洞的利用程序对网络安全具有巨大威胁,从特征角度看,0day攻击与传统的黑客攻击有极大的相似特征,其区别仅仅在于0day攻击的对象以及渠道,是潜在的未知的,或者是虽然已经公布但尚未来得及修复的系统漏洞。
常见的漏洞信息库:
https://www.exploit-db.com/
https://www.seebug.org/
http://cnnvd.org.cn/
0day漏洞的防御
作为管理员或用户,永远不要使用未打补丁版本的软件。
作为开发人员,进行安全开发,安全测试人员进行安全测试等。
确保将错误报告提交给开发人员和公司。
基于已有规则防护与事后升级规则库应对等。
相关文章
- 常见的安全测试漏洞
- 【软件测试】某城商行手机银行授权漏洞分析黑客攻击,测试优化手段......
- 渗透测试-逻辑漏洞测试挖掘总结
- 渗透测试-越权漏洞之垂直越权和水平越权
- web渗透测试----5、暴力破解漏洞--(9)MS-SQL密码破解
- web渗透测试----5、暴力破解漏洞--(4)Telnet密码破解
- web渗透测试----5、暴力破解漏洞--(3)FTP密码破解
- web渗透测试----26、SQL注入漏洞--(1)原理篇
- web渗透测试----20、反序列化漏洞--(1)序列化和反序列化
- web渗透测试----19、HTTP请求走私--(2)HTTP请求走私漏洞的利用
- web渗透测试----12、HTTP主机标头漏洞
- web渗透测试----11、身份认证漏洞
- web渗透测试----6、目录遍历漏洞
- 《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1)
- Apache Tomcat任意文件读取漏洞POC测试(CVE-2020-1938)
- 使用开源的 Kubernetes 漏洞扫描和测试
- 安全测试与漏洞管理领域各大发展趋势概述