HTML5最新版本介紹

HTML5是HTML4.01和XHTML1.0之后超文本標(biāo)記語言的最新版本，由一群自由思想者設(shè)計(jì)，最終實(shí)現(xiàn)了多媒體支持、交互性、更智能的表單和更好的語義標(biāo)注。

HTML 5不只是 HTML規(guī)范的最新版本，它是用于生成現(xiàn)代 Web內(nèi)容的一系列相關(guān)技術(shù)的總稱，其中最重要的三個(gè)技術(shù)是：HTML5核心規(guī)范(table)、 CSS (class style)和 JavaScript。

一．HTML5 的歷史

HTML在1993年第一次作為互聯(lián)網(wǎng)草稿發(fā)布，隨后經(jīng)歷了2.0、3.2和4.0，直到1999年 HTML4.01版本穩(wěn)定下來。慢慢地，隨著發(fā)展，越來越嚴(yán)格的 XHTML取代了它。

XHTML 的興衰史

自發(fā)布了 HTML4.01版以來，萬維網(wǎng)聯(lián)盟(W3C)掌握了 HTML規(guī)范，但該組織并未發(fā)布新標(biāo)準(zhǔn)，而是致力于 XHTML1.0，以及之后的 XHTML2.0。XHTML是基于 XML的 HTML版本，它致力于實(shí)現(xiàn)更嚴(yán)格和統(tǒng)一的編碼規(guī)范，解決了以前的 HTML4.01版本中由于編碼不規(guī)范而導(dǎo)致瀏覽器出現(xiàn)的各種奇怪行為。因此， Web開發(fā)人員非常支持 XHTML。XHTML最大的優(yōu)點(diǎn)，就是迫使開發(fā)人員養(yǎng)成良好的編碼習(xí)慣，摒棄混亂的 HTML書寫，最終減少瀏覽器解析頁面的困難，方便移植到其他平臺。

然而，越想往好的方面發(fā)展，往往就會帶來災(zāi)難性的后果，世界上的一切都是如此。XHTML2.0規(guī)定了更嚴(yán)格的錯(cuò)誤處理規(guī)則，規(guī)定瀏覽器必須拒絕無效的XHTML2頁面，強(qiáng)制 Web開發(fā)人員在不向下兼容、不改變 HTML遺留下來的奇怪行為和編碼習(xí)慣的情況下編寫絕對正確的代碼。按道理，取其精華，去其糟粕應(yīng)該是件好事。但如果這樣的話，上一個(gè)頁面將不能兼容， Web開發(fā)人員的難度又增加了，而制定這一標(biāo)準(zhǔn)又太久，最終將被拋棄。

HTML5 的回歸

W3C在2008年發(fā)布了HTML5的工作草案，XHTML2預(yù)定在2009年終止。在大約一年的時(shí)間里，HTML5規(guī)范進(jìn)一步解決了很多實(shí)際問題，各大瀏覽器廠商開始升級產(chǎn)品支持HTML5。因此，瀏覽器的實(shí)驗(yàn)反饋，HTML5規(guī)范得到了不斷的改進(jìn)和完善，并很快融入到Web平臺的實(shí)質(zhì)性改進(jìn)中。

和 XHTML2.0不同的是，開發(fā)HTML5規(guī)范的團(tuán)隊(duì)不會為了彌補(bǔ)以前 HTML的種種缺陷而去糾正它，而是盡可能地彌補(bǔ) Web開發(fā)人員所需要的各種功能。其中包括更強(qiáng)大的CSS3，表單驗(yàn)證，音頻視頻，本地存儲，地理定位，畫作(畫布)，網(wǎng)絡(luò)通訊等等。

二．HTML5 的功能

HTML5涵蓋了哪些功能？主流瀏覽器是如何支持這些功能的？

1.HTML5 核心：

該部分主要組成為W3C官方規(guī)范，包括新的語義元素，新的增強(qiáng)的 Web表單，音頻和視頻，以及 JavaScript繪制的畫布。大部分主流瀏覽器都對此有良好的支持；

2.曾經(jīng)的 HTML5 標(biāo)準(zhǔn)：

這部分主要來源于原HTML5規(guī)范，大部分都需要JavaScript，支持Web應(yīng)用開發(fā)。例如:本地?cái)?shù)據(jù)存儲、離線應(yīng)用、消息傳輸；

3.非 HTML5 標(biāo)準(zhǔn)：

這部分通常指的是下一代功能。雖然從未進(jìn)入HTML5標(biāo)準(zhǔn)，但人們還是會把它當(dāng)作HTML5的一部分。這些包括最常見的CSS3，以及非常受歡迎的地理位置。

對于最為常用且實(shí)用的部分，基本上主流的瀏覽器都支持得比較好。而那些特殊需求的部分，則需要根據(jù)不同的瀏覽器檢測才能知道是否支持自己想要的功能。

三．HTML5 的特點(diǎn)

在 HTML5 發(fā)展的同時(shí)，XHTML2.0 也在不斷發(fā)展，那么到底是哪些特點(diǎn)導(dǎo)致 HTML5 取得最終的勝利呢？

1.向下兼容

對 XHTML2.0來說，需要遵循規(guī)則，否則不能顯示，而HTML5則奉行“不破壞 Web”的原則。這就是說，以前存在的網(wǎng)頁，仍然能夠保持正確的顯示。

HTML5規(guī)范當(dāng)然是面向開發(fā)者，要求拋棄過去那些編碼的壞習(xí)慣和廢棄的標(biāo)簽元素；面向?yàn)g覽器廠商，要求他們兼容 HTML遺留下來的所有東西，從而實(shí)現(xiàn)向下兼容。

2.用戶至上

HTML 5遵循“用戶至上”的原則，當(dāng)出現(xiàn)具體問題時(shí)，首先考慮用戶，其次考慮開發(fā)人員，然后再考慮瀏覽器廠商，最后才考慮制定規(guī)范。例如，開發(fā)者在編寫代碼時(shí)不嚴(yán)謹(jǐn)，導(dǎo)致本應(yīng)出現(xiàn)警告或錯(cuò)誤，但頁面卻正常顯示。

3.化繁為簡

HTML5 對比之前的 XHTML，做了大量的簡化工作。具體如下：

(1)替換復(fù)雜的JavaScript具有瀏覽器的原生能力；

(2).DOCTYPE 被簡化到極致；

(3).字符集聲明被簡化；

(4).簡單強(qiáng)大的 API。

4.無插件范式

在HTML5出現(xiàn)之前，很多功能只能通過插件或者h(yuǎn)ack(比如畫圖API)來實(shí)現(xiàn)，但是HTML5本身就提供了這些支持。使用插件有許多問題，如下所示:

(1).插件安裝容易失敗；

(2).插件被瀏覽器或軟件禁用屏蔽（如 Flash 插件）；

(3).插件經(jīng)常會被爆出漏洞被利用攻擊；

(4).插件不容易與 HTML 文檔其他部分集成（比如整體透明化等）。

5.訪問通用性

這個(gè)原則分為三個(gè)概念：

(1).可訪問性：比如更加利于殘障人士的閱讀方案；

(2).媒體中立：比如 HTML5 的媒體播放在不同設(shè)備或平臺均能正常運(yùn)行；

(3).支持所有語種：比如新元素。

6.引入語義

HTML 5引入一些標(biāo)簽元素來區(qū)分不同的意思和內(nèi)容。該方法大大提高了代碼編寫者的可讀性，并且便于代碼區(qū)域查詢。

7.引入原生媒體支持

HTML5的一個(gè)重大改進(jìn)就是支持直接在瀏覽器中播放視頻和音頻文件，而這類功能之前都需要借助插件來實(shí)現(xiàn)。

8.引入可編程內(nèi)容

HTML5 最大的變化就是引入了需要通過 JavaScript 編程才能完全的各種效果，而這些很多都是 HTML5 原生的。那么現(xiàn)在 HTML5 可以理解為 HTML + CSS + JavaScript + API 的總稱。

以上就是關(guān)于HTML5的一些介紹，謝謝大家觀看。

TML5 是第五個(gè)且是當(dāng)前的 HTML 版本，它是用于在萬維網(wǎng)上構(gòu)建和呈現(xiàn)內(nèi)容的標(biāo)記語言。本文將幫助讀者了解它。 -- Palak Shah

本文導(dǎo)航
-新標(biāo)簽和元素 …… 08%
-HTML5 的高級功能 …… 16%

-地理位置 …… 16%
-網(wǎng)絡(luò)存儲 …… 33%
-應(yīng)用緩存（AppCache） …… 44%
-視頻 …… 50%
-音頻 …… 61%
-畫布（Canvas） …… 71%

-HTML5 工具 …… 78%

編譯自： http://opensourceforu.com/2017/06/introduction-to-html5/
作者： Palak Shah
譯者： geekpi

HTML5 是第五個(gè)且是當(dāng)前的 HTML 版本，它是用于在萬維網(wǎng)上構(gòu)建和呈現(xiàn)內(nèi)容的標(biāo)記語言。本文將幫助讀者了解它。

HTML5 通過 W3C 和Web 超文本應(yīng)用技術(shù)工作組Web Hypertext Application Technology Working Group之間的合作發(fā)展起來。它是一個(gè)更高版本的 HTML，它的許多新元素可以使你的頁面更加語義化和動(dòng)態(tài)。它是為所有人提供更好的 Web 體驗(yàn)而開發(fā)的。HTML5 提供了很多的功能，使 Web 更加動(dòng)態(tài)和交互。

HTML5 的新功能是：

新標(biāo)簽，如 <header> 和 <section>
用于 2D 繪圖的 <canvas> 元素
本地存儲
新的表單控件，如日歷、日期和時(shí)間
新媒體功能
地理位置

HTML5 還不是正式標(biāo)準(zhǔn)（LCTT 譯注：HTML5 已于 2014 年成為“推薦標(biāo)準(zhǔn)”），因此，并不是所有的瀏覽器都支持它或其中一些功能。開發(fā) HTML5 背后最重要的原因之一是防止用戶下載并安裝像 Silverlight 和 Flash 這樣的多個(gè)插件。

新標(biāo)簽和元素

語義化元素：圖 1 展示了一些有用的語義化元素。
表單元素： HTML5 中的表單元素如圖 2 所示。
圖形元素： HTML5 中的圖形元素如圖 3 所示。
媒體元素： HTML5 中的新媒體元素如圖 4 所示。

圖 1：語義化元素

圖 2：表單元素

圖 3：圖形元素

圖 4：媒體元素

HTML5 的高級功能

`地理位置`

這是一個(gè) HTML5 API，用于獲取網(wǎng)站用戶的地理位置，用戶必須首先允許網(wǎng)站獲取他或她的位置。這通常通過按鈕和/或?yàn)g覽器彈出窗口來實(shí)現(xiàn)。所有最新版本的 Chrome、Firefox、IE、Safari 和 Opera 都可以使用 HTML5 的地理位置功能。

地理位置的一些用途是：

公共交通網(wǎng)站
出租車及其他運(yùn)輸網(wǎng)站
電子商務(wù)網(wǎng)站計(jì)算運(yùn)費(fèi)
旅行社網(wǎng)站
房地產(chǎn)網(wǎng)站
在附近播放的電影的電影院網(wǎng)站
在線游戲
網(wǎng)站首頁提供本地標(biāo)題和天氣
工作職位可以自動(dòng)計(jì)算通勤時(shí)間

工作原理：地理位置通過掃描位置信息的常見源進(jìn)行工作，其中包括以下：

全球定位系統(tǒng)（GPS）是最準(zhǔn)確的
網(wǎng)絡(luò)信號 - IP地址、RFID、Wi-Fi 和藍(lán)牙 MAC地址
GSM/CDMA 蜂窩 ID
用戶輸入

該 API 提供了非常方便的函數(shù)來檢測瀏覽器中的地理位置支持：

if (navigator.geolocation) {
// do stuff
}

getCurrentPosition API 是使用地理位置的主要方法。它檢索用戶設(shè)備的當(dāng)前地理位置。該位置被描述為一組地理坐標(biāo)以及航向和速度。位置信息作為位置對象返回。

語法是：

getCurrentPosition(showLocation, ErrorHandler, options);

showLocation：定義了檢索位置信息的回調(diào)方法。
ErrorHandler（可選）：定義了在處理異步調(diào)用時(shí)發(fā)生錯(cuò)誤時(shí)調(diào)用的回調(diào)方法。
options （可選）：定義了一組用于檢索位置信息的選項(xiàng)。

我們可以通過兩種方式向用戶提供位置信息：測地和民用。

描述位置的測地方式直接指向緯度和經(jīng)度。
位置信息的民用表示法是人類可讀的且容易理解。

如下表 1 所示，每個(gè)屬性/參數(shù)都具有測地和民用表示。

圖 5 包含了一個(gè)位置對象返回的屬性集。

圖5：位置對象屬性

`網(wǎng)絡(luò)存儲`

在 HTML 中，為了在本機(jī)存儲用戶數(shù)據(jù)，我們需要使用 JavaScript cookie。為了避免這種情況，HTML5 已經(jīng)引入了 Web 存儲，網(wǎng)站利用它在本機(jī)上存儲用戶數(shù)據(jù)。

與 Cookie 相比，Web 存儲的優(yōu)點(diǎn)是：

更安全
更快
存儲更多的數(shù)據(jù)
存儲的數(shù)據(jù)不會隨每個(gè)服務(wù)器請求一起發(fā)送。只有在被要求時(shí)才包括在內(nèi)。這是 HTML5 Web 存儲超過 Cookie 的一大優(yōu)勢。

有兩種類型的 Web 存儲對象：

本地 - 存儲沒有到期日期的數(shù)據(jù)。
會話 - 僅存儲一個(gè)會話的數(shù)據(jù)。

如何工作： localStorage 和 sessionStorage 對象創(chuàng)建一個(gè) key=value 對。比如： key="Name"， value="Palak"。

這些存儲為字符串，但如果需要，可以使用 JavaScript 函數(shù)（如 parseInt() 和 parseFloat()）進(jìn)行轉(zhuǎn)換。

下面給出了使用 Web 存儲對象的語法：

存儲一個(gè)值：

localStorage.setItem("key1", "value1");
localStorage["key1"] = "value1";

得到一個(gè)值：

alert(localStorage.getItem("key1"));
alert(localStorage["key1"]);

刪除一個(gè)值： -removeItem("key1");
刪除所有值：

localStorage.clear();

`應(yīng)用緩存（AppCache）`

使用 HTML5 AppCache，我們可以使 Web 應(yīng)用程序在沒有 Internet 連接的情況下脫機(jī)工作。除 IE 之外，所有瀏覽器都可以使用 AppCache（截止至此時(shí)）。

應(yīng)用緩存的優(yōu)點(diǎn)是：

網(wǎng)頁瀏覽可以脫機(jī)
頁面加載速度更快
服務(wù)器負(fù)載更小

cache manifest 是一個(gè)簡單的文本文件，其中列出了瀏覽器應(yīng)緩存的資源以進(jìn)行脫機(jī)訪問。 manifest 屬性可以包含在文檔的 HTML 標(biāo)簽中，如下所示：

<html manifest="test.appcache">
...
</html>

它應(yīng)該在你要緩存的所有頁面上。

緩存的應(yīng)用程序頁面將一直保留，除非：

用戶清除它們
manifest 被修改
緩存更新

`視頻`

在 HTML5 發(fā)布之前，沒有統(tǒng)一的標(biāo)準(zhǔn)來顯示網(wǎng)頁上的視頻。大多數(shù)視頻都是通過 Flash 等不同的插件顯示的。但 HTML5 規(guī)定了使用 video 元素在網(wǎng)頁上顯示視頻的標(biāo)準(zhǔn)方式。

目前，video 元素支持三種視頻格式，如表 2 所示。

下面的例子展示了 video 元素的使用：

<! DOCTYPE HTML>
<html>
<body>
<video src=" vdeo.ogg" width="320" height="240" controls="controls">
This browser does not support the video element.
</video>
</body>
</html>

例子使用了 Ogg 文件，并且可以在 Firefox、Opera 和 Chrome 中使用。要使視頻在 Safari 和未來版本的 Chrome 中工作，我們必須添加一個(gè) MPEG4 和 WebM 文件。

video 元素允許多個(gè) source 元素。source 元素可以鏈接到不同的視頻文件。瀏覽器將使用第一個(gè)識別的格式，如下所示：

<video width="320" height="240" controls="controls">
<source src="vdeo.ogg" type="video/ogg" />
<source src=" vdeo.mp4" type="video/mp4" />
<source src=" vdeo.webm" type="video/webm" />
This browser does not support the video element.
</video>

圖6：Canvas 的輸出

`音頻`

對于音頻，情況類似于視頻。在 HTML5 發(fā)布之前，在網(wǎng)頁上播放音頻沒有統(tǒng)一的標(biāo)準(zhǔn)。大多數(shù)音頻也通過 Flash 等不同的插件播放。但 HTML5 規(guī)定了通過使用音頻元素在網(wǎng)頁上播放音頻的標(biāo)準(zhǔn)方式。音頻元素用于播放聲音文件和音頻流。

目前，HTML5 audio 元素支持三種音頻格式，如表 3 所示。

audio 元素的使用如下所示：

<! DOCTYPE HTML>
<html>
<body>
<audio src=" song.ogg" controls="controls">
This browser does not support the audio element.
</video>
</body>
</html>

此例使用 Ogg 文件，并且可以在 Firefox、Opera 和 Chrome 中使用。要在 Safari 和 Chrome 的未來版本中使 audio 工作，我們必須添加一個(gè) MP3 和 Wav 文件。

audio 元素允許多個(gè) source 元素，它可以鏈接到不同的音頻文件。瀏覽器將使用第一個(gè)識別的格式，如下所示：

<audio controls="controls">
<source src="song.ogg" type="audio/ogg" />
<source src="song.mp3" type="audio/mpeg" />
This browser does not support the audio element.
</audio>

`畫布（Canvas）`

要在網(wǎng)頁上創(chuàng)建圖形，HTML5 使用畫布 API。我們可以用它繪制任何東西，并且它使用 JavaScript。它通過避免從網(wǎng)絡(luò)下載圖像而提高網(wǎng)站性能。使用畫布，我們可以繪制形狀和線條、弧線和文本、漸變和圖案。此外，畫布可以讓我們操作圖像中甚至視頻中的像素。你可以將 canvas 元素添加到 HTML 頁面，如下所示：

<canvas id="myCanvas" width="200" height="100"></canvas>

畫布元素不具有繪制元素的功能。我們可以通過使用 JavaScript 來實(shí)現(xiàn)繪制。所有繪畫應(yīng)在 JavaScript 中。

<script type="text/javascript">
var c=document.getElementById("myCanvas");
var cxt=c.getContext("2d");
cxt.fillStyle="blue";
cxt.storkeStyle = "red";
cxt.fillRect(10,10,100,100);
cxt.storkeRect(10,10,100,100);
</script>

以上腳本的輸出如圖 6 所示。

你可以繪制許多對象，如弧、圓、線/垂直梯度等。

HTML5 工具

為了有效操作，所有熟練的或業(yè)余的 Web 開發(fā)人員/設(shè)計(jì)人員都應(yīng)該使用 HTML5 工具，當(dāng)需要設(shè)置工作流/網(wǎng)站或執(zhí)行重復(fù)任務(wù)時(shí)，這些工具非常有幫助。它們提高了網(wǎng)頁設(shè)計(jì)的可用性。

以下是一些幫助創(chuàng)建很棒的網(wǎng)站的必要工具。

HTML5 Maker：用來在 HTML、JavaScript 和 CSS 的幫助下與網(wǎng)站內(nèi)容交互。非常容易使用。它還允許我們開發(fā)幻燈片、滑塊、HTML5 動(dòng)畫等。
Liveweave：用來測試代碼。它減少了保存代碼并將其加載到屏幕上所花費(fèi)的時(shí)間。在編輯器中粘貼代碼即可得到結(jié)果。它非常易于使用，并為一些代碼提供自動(dòng)完成功能，這使得開發(fā)和測試更快更容易。
Font dragr：在瀏覽器中預(yù)覽定制的 Web 字體。它會直接載入該字體，以便你可以知道看起來是否正確。也提供了拖放界面，允許你拖動(dòng)字形、Web 開放字體和矢量圖形來馬上測試。
HTML5 Please：可以讓我們找到與 HTML5 相關(guān)的任何內(nèi)容。如果你想知道如何使用任何一個(gè)功能，你可以在 HTML Please 中搜索。它提供了支持的瀏覽器和設(shè)備的有用資源的列表，語法，以及如何使用元素的一般建議等。
Modernizr：這是一個(gè)開源工具，用于給訪問者瀏覽器提供最佳體驗(yàn)。使用此工具，你可以檢測訪問者的瀏覽器是否支持 HTML5 功能，并加載相應(yīng)的腳本。
Adobe Edge Animate：這是必須處理交互式 HTML 動(dòng)畫的 HTML5 開發(fā)人員的有用工具。它用于數(shù)字出版、網(wǎng)絡(luò)和廣告領(lǐng)域。此工具允許用戶創(chuàng)建無瑕疵的動(dòng)畫，可以跨多個(gè)設(shè)備運(yùn)行。
Video.js：這是一款基于 JavaScript 的 HTML5 視頻播放器。如果要將視頻添加到你的網(wǎng)站，你應(yīng)該使用此工具。它使視頻看起來不錯(cuò)，并且是網(wǎng)站的一部分。
The W3 Validator： W3 驗(yàn)證工具測試 HTML、XHTML、SMIL、MathML 等中的網(wǎng)站標(biāo)記的有效性。要測試任何網(wǎng)站的標(biāo)記有效性，你必須選擇文檔類型為 HTML5 并輸入你網(wǎng)頁的 URL。這樣做之后，你的代碼將被檢查，并將提供所有錯(cuò)誤和警告。
HTML5 Reset：此工具允許開發(fā)人員在 HTML5 中重寫舊網(wǎng)站的代碼。你可以使用這些工具為你網(wǎng)站的訪問者提供一個(gè)良好的網(wǎng)絡(luò)體驗(yàn)。

Palak Shah

作者是高級軟件工程師。她喜歡探索新技術(shù)，學(xué)習(xí)創(chuàng)新概念。她也喜歡哲學(xué)。你可以通過 palak311@gmail.com[1] 聯(lián)系她。

via: http://opensourceforu.com/2017/06/introduction-to-html5/

作者：Palak Shah[2] 譯者：geekpi 校對：wxy

本文由 LCTT 原創(chuàng)編譯，Linux中國榮譽(yù)推出

點(diǎn)擊“了解更多”可訪問文內(nèi)鏈接

篇文章將介紹什么是web滲透測試，為什么需要它，以及如何使用它來保護(hù)您的網(wǎng)站。

如果您正在運(yùn)行一個(gè)網(wǎng)站，那么確保您的網(wǎng)站是安全的至關(guān)重要。黑客一直在尋找可利用的漏洞，如果他們能在您的網(wǎng)站上找到漏洞，他們可能會造成嚴(yán)重破壞。這就是網(wǎng)絡(luò)滲透測試出現(xiàn)的地方。Web滲透測試是檢測和利用網(wǎng)站上的安全漏洞的行為。在這篇文章中，我們將介紹什么是網(wǎng)絡(luò)滲透測試、為什么需要它以及如何使用它來保護(hù)您的網(wǎng)站。我們還將研究一些可用的頂級 Web 滲透測試工具，包括開源和商業(yè)。

什么是網(wǎng)絡(luò)滲透測試？

Web 應(yīng)用程序滲透測試，通常稱為 Web 應(yīng)用程序安全測試，是檢測和利用 Web 應(yīng)用程序中的漏洞的活動(dòng)。滲透測試可用于發(fā)現(xiàn)已知和未知的漏洞。一旦發(fā)現(xiàn)漏洞，測試人員可能會嘗試?yán)盟鼇砀`取機(jī)密信息或獲得對系統(tǒng)的控制權(quán)。

為什么需要 Web 滲透測試？

您可能需要對您的網(wǎng)站進(jìn)行滲透測試的原因有很多。也許您正在啟動(dòng)一個(gè)新站點(diǎn)，并希望在上線之前確保它是安全的。或者，您可能遇到過網(wǎng)站被黑客入侵的事件，并且您想防止它再次發(fā)生。無論哪種方式，網(wǎng)絡(luò)滲透測試都可以幫助您在潛在的安全問題被利用之前識別和修復(fù)它們。

開源和商業(yè)頂級 Web 滲透測試工具列表

有許多可用的網(wǎng)絡(luò)滲透測試工具，包括開源的和商業(yè)的。以下是一些頂級選項(xiàng)：

開源：

Wapiti
SQLMap
SonarQube

商業(yè)的：

Astra's Pentest
Netsparker
Acunetix

網(wǎng)絡(luò)滲透測試方法論

信息收集：滲透測試者在收集信息時(shí)嘗試在網(wǎng)站后端發(fā)現(xiàn)指紋。它通常包含諸如服務(wù)器操作系統(tǒng)、CMS 版本等內(nèi)容。
發(fā)現(xiàn)：第二階段是使用自動(dòng)工具來揭示服務(wù)中可能存在的任何已知安全漏洞或 CVE。由于自動(dòng)工具掃描經(jīng)常遺漏這些類型的漏洞，因此還需要手動(dòng)工程檢查來發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞。
利用： 在探索的最后階段，使用在第一階段發(fā)現(xiàn)的任何漏洞。開發(fā)部分還用于從目標(biāo)中竊取數(shù)據(jù)并保持訪問。

Web 滲透測試如何幫助您實(shí)現(xiàn)合規(guī)性？

Web 滲透測試可以通過在潛在漏洞被利用之前識別和修復(fù)它們來幫助您實(shí)現(xiàn)對安全標(biāo)準(zhǔn)的合規(guī)性。您可以通過確保您的網(wǎng)站安全來保護(hù)您的消費(fèi)者數(shù)據(jù)并避免巨額罰款和損失。

網(wǎng)絡(luò)滲透測試清單

為確保您有效地對您的網(wǎng)站進(jìn)行滲透測試，請記住以下事項(xiàng)清單：

了解 Web 應(yīng)用程序架構(gòu)
確定網(wǎng)站上最重要的資產(chǎn)
使用自動(dòng)化工具執(zhí)行初始掃描
手動(dòng)檢查代碼是否存在漏洞
泄露數(shù)據(jù)并控制系統(tǒng)

通過執(zhí)行這些步驟，您可以確保您的網(wǎng)站安全且符合安全標(biāo)準(zhǔn)。

進(jìn)一步探索開源的頂級 Web 滲透測試工具

Wapiti

Wapiti 是 SourceForge 的一個(gè)免費(fèi)開源項(xiàng)目，用于對 Web 應(yīng)用程序進(jìn)行黑盒測試。Wapiti 使用黑盒測試來分析 Web 應(yīng)用程序的潛在安全漏洞。因?yàn)樗且粋€(gè)命令行程序，所以您需要熟悉各種 Wapiti 命令。

Wapiti 對于老手來說很容易使用，但對于新手來說可能很難。Wapiti 將有效負(fù)載注入網(wǎng)站以確定它是否易受攻擊。這個(gè)特殊的開源安全測試工具可以處理 GET 和 POSTHTTP 攻擊。

SQLMap

SQLMap 是一個(gè)免費(fèi)的開源工具，可讓您自動(dòng)檢測和利用基于數(shù)據(jù)庫的 SQL 注入缺陷。安全測試軟件擁有強(qiáng)大的測試引擎，可用于測試六種SQL注入攻擊，即——

基于布爾的盲法
基于錯(cuò)誤
帶外
基于時(shí)間的盲法
堆疊查詢
UNION 查詢

SonarQube

流行的開源安全測試軟件是 SonarQube。它用于評估網(wǎng)站應(yīng)用程序代碼的質(zhì)量以及識別安全漏洞。盡管它是用 Java 編寫的，但 SonarQube 可以分析 20 多種不同的編程語言。SonarQube 識別問題并以綠燈或紅燈顯示。

第一個(gè)處理低風(fēng)險(xiǎn)的漏洞和問題，而后者指的是嚴(yán)重的漏洞和問題。更有經(jīng)驗(yàn)的用戶可以訪問命令提示符。對于剛剛開始測試的個(gè)人，有一個(gè)交互式用戶界面 (GUI)。

進(jìn)一步探索頂級Web滲透測試工具商業(yè)

Astra的滲透測試

Astra Security 成立的目的是讓最終用戶更容易獲得在線應(yīng)用程序的安全性。Astra's Pentest 的精神已作為其精神的一部分融入日常生活。使用此 Web 應(yīng)用程序滲透測試解決方案有幾個(gè)好處。例如，您可以將 CI/CD 工具與 Astra pentest 套件連接起來，以便在有代碼更新時(shí)觸發(fā)自動(dòng)掃描。

您還可以將其連接到例如 Jira 或 Slack，這樣您就可以將滲透測試和恢復(fù)相關(guān)活動(dòng)分配給您的團(tuán)隊(duì)成員，而無需他們訪問套件。當(dāng)然，滲透測試套件允許您與軟件開發(fā)人員和安全專家交談。

網(wǎng)絡(luò)火花

Netsparker 是一個(gè)在線應(yīng)用程序和 Web API 安全工具，可以發(fā)現(xiàn) SQL 注入和跨站點(diǎn)腳本漏洞。Netsparker 通過唯一地驗(yàn)證它們來證明已驗(yàn)證的問題是真實(shí)的，而不是誤報(bào)。

因此，您不必在掃描完成后浪費(fèi)數(shù)小時(shí)手動(dòng)檢查每個(gè)已識別的漏洞。它可以作為 Windows 程序和在線服務(wù)訪問。

Acunetix

Acunetix 是一款全自動(dòng) Web 應(yīng)用程序漏洞掃描程序，可發(fā)現(xiàn)和報(bào)告超過 4,500 個(gè) Web 應(yīng)用程序安全漏洞，包括SQL 注入和 XSS 的所有變體。

它通過自動(dòng)化可能需要數(shù)小時(shí)才能手動(dòng)執(zhí)行的活動(dòng)來補(bǔ)充滲透測試員的工作，同時(shí)仍能在創(chuàng)紀(jì)錄的時(shí)間內(nèi)提供正確的答案。

Acunetix 支持 HTML5、JavaScript和單頁應(yīng)用程序以及 CMS 系統(tǒng)。它為滲透測試人員提供強(qiáng)大的手動(dòng)工具，并與流行的問題跟蹤器和 WAF 一起使用。

結(jié)論

因?yàn)樗梢源_保您網(wǎng)站的安全性，所以網(wǎng)絡(luò)滲透測試至關(guān)重要。您可以通過執(zhí)行 Web 滲透測試在潛在漏洞被黑客利用之前修復(fù)它們。有多種不同類型的 Web 滲透測試軟件可用，包括開源的和商業(yè)的。在本文中，我們討論了一些頂級 Web 滲透測試工具，可幫助您開始測試網(wǎng)站的安全性。

在線咨詢

上一篇：Javascript - 3種 HTML 轉(zhuǎn)換為純文本的方法
下一篇：HTML 之簡介

您的項(xiàng)目需求

*請認(rèn)真填寫需求信息，我們會在24小時(shí)內(nèi)與您取得聯(lián)系。

整合營銷服務(wù)商