Web Hacking：探索NT与Unix下Whisker工具与攻击技术

Web Hacking中文教程深入解析了在现代网络环境中常见的Web攻击技术。随着电子商务的快速发展，Web服务和应用程序的安全性变得越来越重要。本文将着重讨论以下几个关键知识点： 1. Web服务与测试： - 在电子商务背景下，Web服务依赖于网络流量，这些通信必须通过防火墙进行过滤。然而，防火墙并不能完全阻止所有攻击，因为它可能漏掉某些类型的风险。 - 测试Web服务时，需要关注服务器和应用程序组件，如HTTP、SQL数据库（如ADO和ODBC）、Web应用服务器（如Apache、IIS和Netscape）以及编程语言（如Perl和C/C++）支持的CGI、JSP等。 2. 漏洞分类： - Web服务器和Web应用程序是两个不同的目标，攻击者可能针对操作系统、服务器本身或运行在其上的应用程序进行攻击。服务器测试主要针对服务功能和漏洞，而应用程序测试则聚焦于代码审查。 3. 漏洞扫描工具： - 文中提到的Whisker是一款流行的Web漏洞扫描器，由RainForest Puppy提供，它具备1968行的脚本数据库。其他扫描工具如Twwwscan by Pilot和 Stealth by Felipe Moniz也提到了，如 Stealth 提供隐藏扫描功能，而 Typhon 是由 Next Generation Security Software Ltd. 开发的专业解决方案。 4. 漏洞识别与扫描过程： - 使用Whisker进行漏洞识别时，需要指定目标主机地址和选项（如`whisker.pl -v -h <host> -i`）。启动Web服务后，可以通过`whisker.pl`命令执行漏洞扫描，显示漏洞信息。 5. 操作系统兼容性： - Whisker 支持 NT 和 Unix 操作系统，这表明它适用于Windows和Linux等多平台环境。 Web Hacking中文指南涵盖了从基础概念到实际操作的广泛内容，旨在帮助用户了解和保护Web环境免受攻击。通过学习和使用这些工具和技术，安全团队可以有效识别并抵御日益复杂的Web威胁。