更多精彩内容,欢迎关注:

视频号
视频号

抖音
抖音

快手
快手

微博
微博

渗透测试步骤方法流程

文档

渗透测试步骤方法流程

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透测试流程:步骤一:明确目标。步骤二:信息收集。步骤三:漏洞探索。步骤四:漏洞验证。步骤五:信息分析。步骤六:获取所需。步骤七:信息整理。步骤八:形成报告。
推荐度:
导读渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透测试流程:步骤一:明确目标。步骤二:信息收集。步骤三:漏洞探索。步骤四:漏洞验证。步骤五:信息分析。步骤六:获取所需。步骤七:信息整理。步骤八:形成报告。

渗透测试是什么?

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。

渗透测试流程是怎样的?

步骤一:明确目标

1、确定范围:规划测试目标的范围,以至于不会出现越界的情况。

2、确定规则:明确说明渗透测试的程度、时间等。

3、确定需求:渗透测试的方向是web应用的漏洞?业务逻辑漏洞?人员权限管理漏洞?还是其他,以免出现越界测试。

步骤二:信息收集

1、基础信息:IP、网段、域名、端口

2、系统信息:操作系统版本

3、应用信息:各端口的应用,例如web应用、邮件应用等等

4、版本信息:所有探测到的东西的版本

5、人员信息:域名注册人员信息,web应用中网站发帖人的id、管理员姓名等

6、防护信息:试着看能否探测到防护的设备,像有没有CDN、waf等

步骤三:漏洞探索

利用上一步中列出的各种系统、应用等等,使用响应的漏洞

方法:

1、漏扫、awvs、IBM appscan等

2、结合漏洞去exploit-db等位置找利用

3、在网上寻找验证poc

步骤四:漏洞验证

将上述中发现有可能可以成功利用的全部漏洞都验证一遍,结合实际情况搭建模拟环境进行实验,成功后再引用于目标。

自动化验证:结合自动化扫描工具提供的结果

手工验证:根据公开的资源进行手工验证

试验验证:自己搭建模拟环境进行验证

登录猜解:可以尝试一下登录口的账号密码的发现

业务逻辑漏洞:如发现业务逻辑漏洞,进行验证

步骤五:信息分析

为下一步实施渗透做准备

1、精准打击:准备好上一步探测到的漏洞的exp,用来精准打击

2、绕过防御机制:是否有防火墙等设备,如何绕过

3、定制攻击路径:最佳工具路径,根据薄弱入口,高内网权限位置,最终目标

4、绕过检测机制:是否有检测机制,流量监控,杀毒软件 ,恶意代码检测等(免杀)

5、攻击代码:经过试验得来的代码,包括不限于XSS代码,SQL注入语句等

步骤六:获取所需

1、实施攻击,根据前几步的结果,进行攻击

2、获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)

3、进一步渗透:内网入侵,敏感目标

4、持续性存在:一般我们对客户做渗透不需要,但真实的环境中,我们会做rookit、后门,添加管理账号。驻扎手法。

5、清理痕迹:清理相关日志(访问,操作),上传文件等

步骤七:信息整理

1、整理渗透工具:整理渗透过程中用到的代码,poc、exp等

2、整理收集信息:整理渗透过程中收集到的一切信息

3、整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱的位置信息

(为了形成报告,形成测试结果使用)

步骤八:形成报告

1、按需整理:按照之前第一步跟客户确定好的范围和需求来整理资料,并将资料形成报告

2、补充介绍:要对漏洞成因、验证过程和带来的危害进行分析

3、修补建议:当然要对所有产生的问题提出合理高效安全的解决办法

以上就是小编的分享,希望可以帮助到大家。

文档

渗透测试步骤方法流程

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透测试流程:步骤一:明确目标。步骤二:信息收集。步骤三:漏洞探索。步骤四:漏洞验证。步骤五:信息分析。步骤六:获取所需。步骤七:信息整理。步骤八:形成报告。
推荐度:
为你推荐
资讯专栏
热门视频
相关推荐
滴水成石是什么意思 崇论宏议是什么意思啊 人定胜天什么意思啊 寿比南山含义 风靡一时是什么意思解释 雪上加霜什么意思解释 话里有话什么意思啊 粗中有细反义词是什么 算无遗策反义词 肥头大耳指的是啥 赏析行行重行行全诗 赏析《虎斑贝》 画眉鸟古诗的赏析 南邻赏析 《下雪的早晨》艾青赏析 李白的诗赠汪伦赏析 登高杜甫古诗赏析 李白《送友人》赏析 wreck什么意思啊 李白《望天门山》赏析 阳光乐观自信微信昵称 网络规划设计师的主要职责 网络规划师设计师证书有用吗 征集志愿录取机会大吗 全国计算机等级考试考什么科目 计算机成绩一般什么时候出 全国计算机等级考试题型 计算机出成绩公布时间 计算机二级什么时候考 计算机分为几个等级 计算机考试内容 计算机一级一年考几次 全国计算机等级考试报名步骤 计算机二级考试网上报名流程 计算机考试查询成绩 计算机二级考试安排时间 全国计算机考试报名时间 息夫人王维赏析朗诵 bike英语怎么读 英语漂亮beautiful怎么读
Top