<strike id="cakm0"></strike>
  • <button id="cakm0"><dl id="cakm0"></dl></button>
  • <samp id="cakm0"><tbody id="cakm0"></tbody></samp>
    <samp id="cakm0"><pre id="cakm0"></pre></samp><ul id="cakm0"></ul>
    <strike id="cakm0"></strike>
    <li id="cakm0"></li>
  • <ul id="cakm0"></ul>
  • 更多精彩內容,歡迎關注:

    視頻號
    視頻號

    抖音
    抖音

    快手
    快手

    微博
    微博

    什么是滲透測試

    文檔

    什么是滲透測試

    滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。滲透測試流程:步驟一:明確目標。步驟二:信息收集。步驟三:漏洞探索。步驟四:漏洞驗證。步驟五:信息分析。步驟六:獲取所需。步驟七:信息整理。步驟八:形成報告。
    推薦度:
    導讀滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。滲透測試流程:步驟一:明確目標。步驟二:信息收集。步驟三:漏洞探索。步驟四:漏洞驗證。步驟五:信息分析。步驟六:獲取所需。步驟七:信息整理。步驟八:形成報告。

    滲透測試是什么?

    滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。不妨假設,你的公司定期更新安全策略和程序,時時給系統打補丁,并采用了漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到了這些,為什么還要請外方進行審查或滲透測試呢?因為,滲透測試能夠獨立地檢查你的網絡策略,換句話說,就是給你的系統安了一雙眼睛。而且,進行這類測試的,都是尋找網絡系統安全漏洞的專業人士。

    滲透測試流程是怎樣的?

    步驟一:明確目標

    1、確定范圍:規劃測試目標的范圍,以至于不會出現越界的情況。

    2、確定規則:明確說明滲透測試的程度、時間等。

    3、確定需求:滲透測試的方向是web應用的漏洞?業務邏輯漏洞?人員權限管理漏洞?還是其他,以免出現越界測試。

    步驟二:信息收集

    1、基礎信息:IP、網段、域名、端口

    2、系統信息:操作系統版本

    3、應用信息:各端口的應用,例如web應用、郵件應用等等

    4、版本信息:所有探測到的東西的版本

    5、人員信息:域名注冊人員信息,web應用中網站發帖人的id、管理員姓名等

    6、防護信息:試著看能否探測到防護的設備,像有沒有CDN、waf等

    步驟三:漏洞探索

    利用上一步中列出的各種系統、應用等等,使用響應的漏洞

    方法:

    1、漏掃、awvs、IBM appscan等

    2、結合漏洞去exploit-db等位置找利用

    3、在網上尋找驗證poc

    步驟四:漏洞驗證

    將上述中發現有可能可以成功利用的全部漏洞都驗證一遍,結合實際情況搭建模擬環境進行實驗,成功后再引用于目標。

    自動化驗證:結合自動化掃描工具提供的結果

    手工驗證:根據公開的資源進行手工驗證

    試驗驗證:自己搭建模擬環境進行驗證

    登錄猜解:可以嘗試一下登錄口的賬號密碼的發現

    業務邏輯漏洞:如發現業務邏輯漏洞,進行驗證

    步驟五:信息分析

    為下一步實施滲透做準備

    1、精準打擊:準備好上一步探測到的漏洞的exp,用來精準打擊

    2、繞過防御機制:是否有防火墻等設備,如何繞過

    3、定制攻擊路徑:最佳工具路徑,根據薄弱入口,高內網權限位置,最終目標

    4、繞過檢測機制:是否有檢測機制,流量監控,殺毒軟件 ,惡意代碼檢測等(免殺)

    5、攻擊代碼:經過試驗得來的代碼,包括不限于XSS代碼,SQL注入語句等

    步驟六:獲取所需

    1、實施攻擊,根據前幾步的結果,進行攻擊

    2、獲取內部信息:基礎設施(網絡連接,vpn,路由,拓撲等)

    3、進一步滲透:內網入侵,敏感目標

    4、持續性存在:一般我們對客戶做滲透不需要,但真實的環境中,我們會做rookit、后門,添加管理賬號。駐扎手法。

    5、清理痕跡:清理相關日志(訪問,操作),上傳文件等

    步驟七:信息整理

    1、整理滲透工具:整理滲透過程中用到的代碼,poc、exp等

    2、整理收集信息:整理滲透過程中收集到的一切信息

    3、整理漏洞信息:整理滲透過程中遇到的各種漏洞,各種脆弱的位置信息

    (為了形成報告,形成測試結果使用)

    步驟八:形成報告

    1、按需整理:按照之前第一步跟客戶確定好的范圍和需求來整理資料,并將資料形成報告

    2、補充介紹:要對漏洞成因、驗證過程和帶來的危害進行分析

    3、修補建議:當然要對所有產生的問題提出合理高效安全的解決辦法

    以上就是小編的分享,希望可以幫助到大家。

    文檔

    什么是滲透測試

    滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。滲透測試流程:步驟一:明確目標。步驟二:信息收集。步驟三:漏洞探索。步驟四:漏洞驗證。步驟五:信息分析。步驟六:獲取所需。步驟七:信息整理。步驟八:形成報告。
    推薦度:
    為你推薦
    資訊專欄
    熱門視頻
    相關推薦
    滲透測試流程 ui是什么東西 ui設計是什么東西 ui設計是啥 pmp證書是怎么考 pmp證書怎么考 pmp證書如何考 pmp證書是什么怎么考 考pmp認證有什么用 pmp認證作用 考了pmp認證有什么用 什么是pmp pmp是關于什么的 pmp是做什么的 pmp是干什么的 pmp考試怎么考的 pmp認證考試怎么考 怎么考pmp考試 pmp考試是怎么考的 pmp在中國考試怎么考 考網絡工程師有什么用 軟考網絡工程師有什么用 網絡工程師作用 網絡工程師有什么用 滲透測試有什么特點 滲透測試是什么 溫庭筠《遐方怨·憑繡檻》賞析 溫庭筠《遐方怨·憑繡檻》講解 溫庭筠《荷葉杯·楚女欲歸南浦》 賞析 溫庭筠《荷葉杯·楚女欲歸南浦》 講解 王維《息夫人》賞析 王維《息夫人》講解 王維《伊州歌》賞析 王維《伊州歌》講解 杜甫《望牛頭寺》賞析 杜甫《望牛頭寺》講解 李白《清平調·名花傾國兩相歡》 賞析 李白《清平調·名花傾國兩相歡》 講解 李白《口號吳王美人半醉》賞析 李白《口號吳王美人半醉》講解
    Top 亚洲av无码乱码国产精品| 亚洲国产成人精品久久| 热99re久久国超精品首页| 熟妇无码乱子成人精品| 日本伊人精品一区二区三区| 91精品国产品国语在线不卡| 东京热TOKYO综合久久精品| 久久99精品视免费看| 日韩精品久久久久久久电影| 国产精品亚洲а∨无码播放麻豆| 国产精品亚洲综合一区| 无码国内精品人妻少妇| 亚洲一区二区精品视频| 久久精品美女视频| 国产999精品久久久久久| 久久九九精品99国产精品| 免费无码精品黄AV电影| 久久精品国产一区二区电影| 精品无码人妻一区二区三区品| 国内精品一区二区三区在线观看| xxx国产精品视频| 蝌蚪久热精品视频在线观看| 国产在线观看一区二区三区精品| 亚洲国产精品日韩在线| 国产成人精品无码一区二区三区| 国产精品资源在线观看网站| 色婷婷在线精品国自产拍| 国产美女久久精品香蕉69| 精品欧洲男同同志videos| 国产精品网址你懂的| 精品一区二区三区色花堂| 网友自拍区视频精品| 97久久精品一区二区三区| 久久亚洲AV午夜福利精品一区| 最新国产乱人伦偷精品免费网站| 国产精品美女网站在线观看| 国产精品久久香蕉免费播放| 精品久久伦理中文字幕| 无码欧精品亚洲日韩一区| 久久精品成人免费网站| 思思久久精品在热线热|