kongkong

burp suite的intruder模块用来自动探测Web应用程序，我们可以用它来暴力猜解用户名和密码。

       虽然现在sql注入不像以前那么常见，但是在一些中小型网站还是会存在。

Nikto是一款开源的Web程序扫描器，可以扫描服务器中的存在的一些问题。

搭建Web服务器有很多流行的软件，如unix、linux下的apache、tomcat，windows下的IIS，

渗透攻击要搜集足够的信息，谷歌就是一个强大的搜集信息的工具。谷歌除了平时的信息搜索外，还提供强大的高级命令，供我们进一步控制搜索的结果。

攻击目标之前，最重要的是收集信息，搜索引擎就可以自动爬取网站的内容，不过搜索引擎都要遵守robots协议

1、浏览器中的一些参数一般是通过form表单提交给Web后台，交给程序处理，一个简单的form表单如下：

http即超文本传输协议，是Web程序的通信协议。一般是由浏览器发出http请求，服务器发出http相应。

2、处理用户的输入       我们要这样认为，所有的用户输入都不可信。如何安全地处理用户输入是防御攻击的一个很关键的要求。

互联网上的WEB程序需要大量的安全机制来防御攻击。安全机制主要有：①处理用户的访问WEB的功能和数据，防止未授权访问。②处理用户的输入，防止用户的错误输入对程序造成影响。