概述
渗透测试的目标
网络硬件设备
个人电脑,ids入侵检测系统,防火墙,取号系统,人脸识别的门禁系统,接入物联网的各种设备
操作系统
windows linux ios
应用系统
安装的各种各样的软件,web系统后端,前端bootstrap,spring,apache,安卓应用
数据库系统
mysql,sql sever,orceal
不只是这四个还有对管理人员的要求
渗透测试的意义
帮助客户去发现网络系统存在的漏洞,展现攻击过程,了解现状,最后提升对信息安全的重视程度
发现漏洞
了解安全状态
重视风险
提升防护水平
渗透测试的分类
按信息掌握程度
如果足够了解就是白盒测试
如果只是给一个网站那就是黑盒测试
按范围
三类
内网 直接在公司内网发起攻击,可以绕开系统保护机制
外网 从外部网络连接进行攻击模拟黑盒
不同的网段或 vlan虚拟 掌握一部分信息
渗透测试的流程
确定目标
范围
对ip或设备进行测试的内容进行规定
规则(限制条件)
是否影响系统正常运行,有没有与其他部门提前通知,内网发起还是外网
需求
应用系统漏洞,网络设备漏洞,业务逻辑漏洞,人员制度漏洞
授权书
信息收集
域名信息,IP段,开放的端口,网站架构,文件目录结构,软件版本,waf,旁站,c段
漏洞扫描
什么是漏洞?Vulnerability和bug的区别,bug是影响性能,漏洞是安全性
漏洞数据库
| 数据库 | 网址 |
|---|---|
| 国家信息安全漏洞库(CNNVD) | https://www.cnvd.org.cn/ |
| 国家信息安全漏洞共享平台(CNVD) | 国家信息安全漏洞库 |
| 国家工业信息安全漏洞库(CICSVD) | 国家工业信息安全漏洞库(CICSVD) |
| CVE | CVE -CVE |
扫描工具
漏洞分类
攻击
防御绕过
维持访问(后渗透攻击)
形成报告/清楚痕迹
发现了什么漏洞
危害性
怎么发现的
如何复现
原因分析
修补建议
渗透测试与kali
最后
以上就是落后草丛为你收集整理的渗透测试入门的全部内容,希望文章能够帮你解决渗透测试入门所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复