如何进行web渗透测试

1、目标网站未对用户输入的字符进行特殊字符过滤或合法性校验，允许用户输入特殊语句，导致各种调用系统命令的web应用，会被攻击者通过命令拼接、绕过黑名单等方式，在服务端运行恶意的系统命令。

2、在分析信息阶段，理解漏洞原理、工具和防御机制，有助于构建全面的攻击计划。而编写测试报告，不仅要详细记录测试过程，还需提出针对性的安全建议，以帮助客户修复漏洞。每个渗透测试项目都需要根据客户的需求进行定制，包括漏洞分析、验证过程和潜在危害，以及提供修复措施。