概述
【网络安全干货分享】渗透测试的完整流程
本文转载自:【网络安全干货分享】渗透测试的完整流程https://blog.51cto.com/u_15052541/4630784
第一步:明确目标
1. 确定范围:也就是测试的范围,如:IP、域名、内外网、整个网站还是部分模块;
2. 确定规则:渗透到的程序,比如是发现漏洞为止,还是继续利用漏洞、时间限制、能否修改上传,能否提权。
第二步:分析风险,获得授权
也就是分析整个渗透测试过程中可能产生的风险,比如大量测试数据的处理、正常业务是否影响、服务器发生异常应急、数据备份和恢复等;
第三步:信息收集
在此阶段,需要专业人士收集尽量多的关于目标Web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录结构、使用的开源软件、数据库类型、所用到的框架、所有链接页面等。
第四步:漏洞探测
此过程可以是手动也可以是自动,利用上一步中所列出的信息,使用相应的漏洞检测。
第五步:漏洞验证
将上一步中发现的有可能被利用的漏洞全部验证一遍,结合实际情况搭建模拟环境进行试验,成功后再应用到目标中。
第六步:信息分析
即为下一步实施渗透做准备
精准攻击:准备好上一步探测到的漏洞exp,用来精准攻击;
绕过防御机制:是否有防火墙等设备,该如何绕过;定制攻击路径:最佳攻击路径即根据薄弱入口,高内网权限位置,最终目标。
最后
以上就是淡淡柚子为你收集整理的渗透测试的完整流程的全部内容,希望文章能够帮你解决渗透测试的完整流程所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复