《Web滲透測試新手實操詳解》第三章故事

閱讀須知：

1、文中的拼音及錯字并非作者失誤，而是故意為之，為的是避免在無關緊要的細節上與系統糾纏，能夠盡快把文章發出來。

2、本文乍一看不是技術類文章，但這需要你細品、你再品、再品、品，其實技術背後的思考比技術本身更重要。怎麼使用某種技術可不隻我一人在講，誰講得好是蘿蔔白菜的問題，但是我怎麼思考的可就獨此一家。這不就是傳說中的創新嗎？

3、《Webshentou測試新手實操詳解》是我的新書，書中本來每一章的前面都有一個隐喻故事，當時寫這些故事時我可是自比為蘇格拉底，想要在日常對話中啟發讀者，在想象中我可是身穿空心白袍、漏半個肩膀、在雅典城議事中吐沫橫飛的舌戰群儒的。誰曾想剛交稿這些故事就被編輯一刀剁了，還迎面斥責我“寫技術就寫技術，寫故事就寫故事，你到底要寫什麼！”。我當血壓都氣高了，大喊道：“你欣賞不了我的藝術！”。當然，上一句是我心裡想的，真實情況是我雙膝一軟就跪了，“大哥，你說怎麼改就怎麼改，一切聽你的！”。于是，我的書面世了。

4、這些故事共有9個，歡迎大家持續關注我的部落格。

一個關于體檢的故事

又到了孩子體檢的時候，醫院裡人山人海，盡管我們已經來得很早了，但是在我們前面還是排了六七家的孩子。孩子們年齡都差不多，有的安靜些，有的搗蛋些，家家戶戶最少都來了兩個家長。我兒子耐不住等待的無聊，早已竄到走廊的另一頭不知道在玩什麼。外公緊随其後，手裡還拿着他的水杯，怕他口渴想喝水。

我和老婆并排坐在醫院的長椅上，有一搭沒一搭的聊着，不時看看叫号的螢幕。“你最近書寫到哪了？”老婆問到，“寫到工具介紹了，一大堆全英文名字的工具，我真怕吓着讀者。”我想了想說到，“有多少工具啊？”老婆又問到，“沒數過，估摸着沒有個1000也得有800了。”我随口答道。“那麼多？全是跟滲透有關的工具嗎？”老婆接着問到。“是啊，這些工具其實都與滲透有關，隻是關系深淺罷了，有的工具就是為滲透而生的；但有的工具最初設計目的就不是為了滲透，隻是恰好能夠解決某個問題而已。工具的分類邊界本來就很模糊，再加上數量還很多，我現在也撓頭怎麼寫好呢？”這是我的心聲。“用比喻啊，你最擅長東拉西扯的瞎比喻了。”老婆說到。“你這是在誇我還是扁我啊？什麼叫瞎比喻，那都是我睜着眼睛比喻的。”我辯解到。“我是在誇你！”老婆解釋道。我狐疑的看看她，心想“各省的國文教育差異那麼大嗎？”。

“你看，對于你關心的web滲透領域來說，我本來是一個外行，但是就靠着閑時聽你聊幾句，我現在也能大概明白web滲透是幹什麼的，就像你說過的web滲透的本質就是身份冒用，我雖然不知道對不對，但是好了解啊；你之前還說過注、破、跨、中四種攻擊路徑，不管包得全不全，記起來簡單啊。你通過比喻用我熟悉的事物來解釋我陌生的内容，我覺得這種方式本身就是一種創新。至于比喻的恰當不恰當，那都不是主要問題，最主要的是你把我領進了一個陌生的地方，但沒有用艱深的技術吓唬我，反而循循善誘，讓我也産生了興趣。我覺得你的這種講法挺好的。”老婆誠懇的說到。

聽了老婆的一席話，我感到很開心，畢竟要把内行的事給外行講清楚本身就很困難，如果外行不但聽懂了，還産生了興趣，那真是值得慶祝的事了。我擡頭看了看電子螢幕，回頭看看老婆，說到：“謝謝你的鼓勵，有時我也确實是瞎比喻，你想想，當我一人漂蕩在知識的大海中，如果不自己找點樂子，很難堅持下去的，結果哪曾想到，我把自己編的這些理論說給你聽，感覺效果還挺好。如果有一天你也入了此行，覺得我這根拐杖不好，大可扔了在找一根。”我感慨到。“不管黑貓白貓，抓到老鼠就是好貓。你這套理論，我還是聽認可的。”老婆說到。

看着人來人往的醫院，我靈光一閃說到：“既然你那麼捧場，我剛有個想法，能把web滲透中這些成百的工具解釋了，你願意聽聽嗎？”。“當然願意，你說吧！”老婆充滿期待的看着我。“你想想看，醫院是怎麼給人治病的？”我問到，不等老婆回答，我接着說：“醫院給人治病簡單說來就隻有兩步：檢查與治療。病人做的驗血、驗尿、量血壓、測體溫、照X光片、胃鏡、腸鏡等等都是檢查，目的是找到病因。醫生根據檢查結果進行治療，方法分為藥物治療與手術治療。”我停頓了一下，示意老婆稍等，然後走到自動售貨機旁買了一瓶水。

“那麼大的醫院，工作被你簡化成兩步，這與滲透工具有什麼關系呢？”老婆接過我手裡的水喝了一口問到。“正式由于醫院裡人員衆多，才啟發了我的聯想。其實你别看web滲透涉及的工具數量多，它們也隻幹兩件事：掃描與破解。針對目标的掃描就好像醫院的檢查一樣，都是為了發現病竈。而破解呢，則與治療相似，隻是目的相反罷了。”我也喝了一口水。“就那麼簡單？”老婆問到。“就那麼簡單，有一點需要稍微補充一下，web滲透的工具很少有隻做掃描或隻做破解的，兼有兩種功能的居多，往往是連掃描帶破解。更有的工具乍看很中立，但換個角度看也能幹掃描或破解的活。例如：代理，它就像導醫台的護士，你要是不知道該挂什麼科的話，可以去問導醫台，她們會根據你的症狀先為你指一個科室。其實這也算是初步的診斷。在web滲透中，我們通過代理觀察用戶端與伺服器的通訊，作出假設，然後在使用掃描器抑或是破解工具。”我看着大廳裡的導醫台說到。