最近有很多网友跟我说,为什么有系统漏洞的网站程序都是用pHp开发设计的,很少有JAVA和python渗透的案例。我们先不谈pHp和Java,不谈python。在此之前,你为什么不记得依据(你不用担心,对不对):pHp网站系统漏洞众多但不复杂,而Java网站系统漏洞是反向的。
为什么大部分实战渗透的网站都是用pHp代码开发设计的?这个问题可以先放一边,下面的问题可以先提一下。
1.为什么看到很多分享实际案例的网站,都是pHp代码开发设计?不清楚网友提到的例子是指具体的渗透例子还是一些实验教学的例子。先说后者,pHp语言非常容易上手,而且pHp网站开源系统有很多免费代码,所以(结合前面没有牢牢记住的原因),自然环境下的pHp网站系统漏洞更容易构建,更适合课堂教学。再来说说前一个。1)渗透一般不是对单个系统漏洞的分析,而只是对几个系统漏洞的开发利用。然后(根据前面为什么不记得的依据),很明显pHp网站在渗透层面的概率很大,要写的题目也很多。2)就中国而言,使用Java的网站有政府单位、大中型国企等。而那些使用pHp的都是中小企业、个人和学生等使用的。(话题讨论为什么拓宽太多就不用说了)。所以,你渗透Java网站给人看并不容易。
2.在哪里可以找到像JAVA/python这样的渗透示例?
前面说过,按照他讲的,网上教学案例应该有很多,比如JSp框架环境漏洞、Tomcat漏洞、反序列化漏洞等等。如果要渗透具体的例子,每年都有很多Java网站被hw渗透,但是报道不容易获得。
3.有必要学习pHp吗?
没必要,就像我明天早上不用吃馒头和豆桨一样。然而,pHp在网络安全入门方面更强,学习pHp不会阻止你学习Java。大多数的网络安全都是从pHp开始的,所以我们不需要和其他人有什么不同。很多从事网络安全的人不用学什么,在实践中遇到什么就学什么。再次,“为什么大多数被渗透的网站都是由pHp开发设计的?”
我觉得这个问题其实对题目的实际意义不大。为了描述方便,为什么不先建立一个“非专业问题”的定义?说白了,一个“非专业问题”是一个会来自围观群众的问题,但被告不考虑。比如你一直报名参加考试,我还是个旁观者。考卷做完,我发现你的答案大部分都是B,然后我说“为什么你的选择题大部分都选B”?这是一个非专业性的问题,因为作为被告,你不会有“我要选择B以上”的考虑,你考虑的只是解决每一个问题。之后可以找各种导致很多B的原因,但是没有实际意义,因为下次考试肯定不会考虑这个原因。\"为什么大多数被渗透的网站都是由pHp开发和设计的?\"这是一个非专业的问题,不关注渗透者,但主体现在的目标是成为渗透者,所以没有实际意义。就渗透者而言,不会说用pHp设计的A网站会比用Java设计的B网站更强或者更难渗透。只有pHp有pHp的方法,Java有Java的方法。如果有网站或App渗透测试的需求,朋友可以找专业的网站安全公司对网站进行安全测试,找出漏洞并进行修复,防止黑客攻击。目前,SINESAFE、鹰盾安全、绿盟、Roborock都是渗透测试的专业公司。