第1章　Web应用渗透测试简介

在当今世界，有许多自动化工具和SaaS解决方案可以用来测试系统或应用程序的安全性。但是当需要对应用程序的业务逻辑进行测试时，自动化往往会失败。了解渗透测试人员如何帮助组织领先于网络攻击，以及为什么组织需要遵循严格的补丁管理周期来保护其资产非常重要。

在本书中，你将学习如何使用著名的Metasploit框架对基于不同平台构建的Web应用进行渗透测试。我们大多数人都知道该工具及其在常规渗透测试中的重要地位，本书将重点介绍如何使用Metasploit框架对各种Web应用进行渗透测试，例如内容管理系统（CMS）和内容交付与内容集成系统（CD/CI）。要了解有关工具和技术的更多信息，我们首先需要了解渗透测试的基础知识。

本章涵盖以下内容：

·什么是渗透测试？

·渗透测试有哪些类型？

·渗透测试分为哪些阶段？

·重要术语。

·渗透测试的方法学。

·通用缺陷列表（Common Weakness Enumeration，CWE）。