搜索

渗透简单测试流程

快乐的学习时光

共 630字,需浏览 2分钟

 ·

2021-03-13 03:53

渗透测试的流程图(图片来源于网络)8747021c7b8d4f750bb8bfc2b0daf675.webp


测试步骤:

1.渗透测试目标以及界线的明确
在进行渗透测试之前,需要与客户就渗透测试的目标、渗透测试的范围、渗透测试方式进行商讨,达成一致协议,这一点至关重要。


2.信息收集
 1 的基础之上,收集与将要进行渗透测试的目标相关的信息,在此过程中可以使用扫描工具以及第三方信息收集工具、搜素引擎(Google)等:
A:基础信息获取

  • IP,网段,域名,端口

  • 注册人信息(注册人姓名、电话、邮箱等)

  • 网站或程序开发所涉及到的语言(PHP、JSP、ASP、Ajax、HTML、XML等)

  • 网站使用的服务器、数据库等信息

  • 操作系统版本……

B:扫描工具

  • Nmap

  • ScanPort……


3.漏洞扫描

系统漏本身洞

服务器本身漏洞

Web应用漏洞(如:IIS版本漏洞,apache)

其它端口服务漏洞

通信安全(明文传输,token在cookie中传送等)


4.漏洞利用

根据3中收集到的信息,对测试目标进行威胁建模,查找与渗透测试目标所开启的服务、开放的端口、使用的服务器、域名、编程逻辑、编程语言等等信息中存在的可利用漏洞信息,并且制定渗透测试方案。根据制定的渗透测试方案开始渗透测试。


5.提权

4 基础上扩大影响范围、提高权限、建立维持访问、清理痕迹等。

6.渗透测试报告书写
在这个过程中,需要将系统中所存在的漏洞、漏洞的证明、系统潜在的安全威胁、针对安全威胁给出的修复建议等给出纤细的说明。

浏览 55
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
渗透测试
徐州八方网络科技有限公司
0
渗透测试
以攻击者思维,模拟黑客对业务系统进行全面深入的安全测试,帮助企业挖掘出正常业务流程中的安全缺陷和漏 洞。助力企业先于黑客发现安全风险,防患于未然。
渗透测试服务
模拟真实黑客的攻击手法对目标系统进行入侵测试,以发现目标系统存在的安全漏洞。
软件测试流程
一、测试主要的四个阶段 1.测试计划设计阶段:产品立项之后,进行需求分析,需求评审,业务需求评级,绘制业务流程图。确定测试负责人,开始制定测试计划; 2.测试准备阶段:各成员编写测试用例、先小组内评审、后会...
siusiu渗透测试工具箱
siusiu是一款基于docker的渗透测试工具箱,致力于做到渗透工具随身携带、开箱即用。减少渗透测试工程师花在安装工具、记忆工具使用方法上的时间和精力。siusiu将常用的渗透测试工具都封装为了do
NodeZero渗透测试系统
NodeZero是一款基于Ubuntu搭建的、专门用于渗透测试的完整系统。NodeZero使用Ubuntu可以保证你的系统不断更新。该系统安装简单,并且它设计的初衷就是磁盘安装和自由可定制。NodeZ
SecLists渗透测试工具包
SecLists是渗透测试工具包,它收集了安全评估期间使用的多种类型的列表,类型包括用户名、密码、URL、敏感数据模式、模糊有效载荷、WebShell等。该项目的目标是使安全测试人员能够将这个仓库拉取
WebSploitweb渗透测试套件
WebSploit 是一个开源项目,主要用于远程扫描和分析系统漏洞。使用它可以非常容易和快速发现系统
SecLists渗透测试工具包
SecLists 是渗透测试工具包,它收集了安全评估期间使用的多种类型的列表,类型包括用户名、密码、
CIntruder渗透测试工具
CIntruder 是一个用 Python 编写的渗透测试工具,用于绕过图片验证码。
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报