渗透简单测试流程
快乐的学习时光
共 630字,需浏览 2分钟
· 2021-03-13
渗透测试的流程图(图片来源于网络)
测试步骤:
1.渗透测试目标以及界线的明确
在进行渗透测试之前,需要与客户就渗透测试的目标、渗透测试的范围、渗透测试方式进行商讨,达成一致协议,这一点至关重要。
2.信息收集
在 1 的基础之上,收集与将要进行渗透测试的目标相关的信息,在此过程中可以使用扫描工具以及第三方信息收集工具、搜素引擎(Google)等:
A:基础信息获取
IP,网段,域名,端口
注册人信息(注册人姓名、电话、邮箱等)
网站或程序开发所涉及到的语言(PHP、JSP、ASP、Ajax、HTML、XML等)
网站使用的服务器、数据库等信息
操作系统版本……
B:扫描工具
Nmap
ScanPort……
3.漏洞扫描
系统漏本身洞
服务器本身漏洞
Web应用漏洞(如:IIS版本漏洞,apache)
其它端口服务漏洞
通信安全(明文传输,token在cookie中传送等)
4.漏洞利用
根据3中收集到的信息,对测试目标进行威胁建模,查找与渗透测试目标所开启的服务、开放的端口、使用的服务器、域名、编程逻辑、编程语言等等信息中存在的可利用漏洞信息,并且制定渗透测试方案。根据制定的渗透测试方案开始渗透测试。
5.提权
在 4 基础上扩大影响范围、提高权限、建立维持访问、清理痕迹等。
6.渗透测试报告书写
在这个过程中,需要将系统中所存在的漏洞、漏洞的证明、系统潜在的安全威胁、针对安全威胁给出的修复建议等给出纤细的说明。
评论
测试新人,如何快速上手一个陌生的系统!
大家好,我是狂师!作为刚入行不久的测试新人,面对一个陌生的系统时,可能会感到有些手足无措。面对一个全新的系统系统,如何快速上手并展开有效的测试工作是一个重要的挑战。本文将探讨测试新人如何通过一系列步骤和策略,快速熟悉并掌握新系统的测试要点,从而提高测试效率和质量。本文旨在为测试新手提供一份指导,帮助
测试开发技术
0
APP 安全测试项总结
一、安装包测试 1.1、关于反编译 目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。 为了避免这些问题,除了代码审核外,通常开发的做法是对代码进行混淆,混淆后源代
测试开发技术
0
自动化测试做得好的标准是什么
自动化测试要做得好的标准,主要包括以下几个方面:一、高覆盖率与精准定位1、测试用例覆盖全面:自动化测试应覆盖产品的核心功能、关键业务流程以及常见的异常场景,确保测试范围广泛,降低遗漏风险。2、问题定位准确:自动化测试应能够精准地识别并定位问题,包括缺陷的位置、产生的原因以及可能的影响,为开发团队提供
测试开发社区
0
好未来测开一面,挺简单!(0428面试原题解析)
大家好,我是二哥呀。今天继续给大家分享春招面试题《好未来测开一面原题》,附详细答案,我会用通俗易懂+手绘图的方式,让天下所有的面渣都能逆袭 😁二哥的 Java 面试指南内容较长,建议正在冲刺 24 届春招和 25 届暑期实习、秋招的同学先收藏起来,面试的时候大概率会碰到,1、二哥的 Linux 速查
沉默王二
0
1000Mbps换算成MB/s是多少?除以8?想简单了!
原文链接:https://post.smzdm.com/p/azoqenzp/在网络传输的时候,往往会用到Mbps这个单位,GbE or 1 GigE 的网卡现在很流行,这个东西被大家叫做“千兆网卡”。同时,大家特别习惯用GB或者MB来描述一个磁盘的大小。这个叫做Gigabyte或者Megabyte
测试开发技术
0
Java与lua互相调用简单教程
来源:网络👉 欢迎加入小哈的星球 ,你将获得: 专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦, 演示链接:http://116.62.199.48/ ,新项目
小哈学Java
0
21.3K star!推荐一款可视化自动化测试/爬虫/数据采集神器!功能免费且强大!
【温馨提示】由于公众号更改了推送规则,不再按照时间顺序排列,如果不想错过测试开发技术精心准备的的干货文章,请将测试开发技术设为“星标☆”,看完文章在文尾处点亮“在看”!大家好,我是狂师!在大数据时代,信息的获取与分析变得尤为重要。对于开发者、数据分析师乃至非技术人员来说,能够高效地采集网络数据并进行
测试开发技术
4
美团社招一面,比预想的简单。
面试题大全:www.javacn.site面试这件事就很玄学,有时候你觉得他可能很难,但面完之后竟然出奇的顺利,问的问题你都会;有些你觉得这次面试应该很简单,但去了之后就被问懵了,所以面试这件事有很多一部分运气的成分。所以说,在没有 Offer 之前就是多准备、楞怂面,主打一个大力出奇迹。这不,逛牛
Java中文社群
0