概述
对客户单位的web站点进行渗透测试的流程:
1、信息收集:用namp或goby、awvs对web站点进行扫描,如果要做的详细点可以在用御剑进行后台扫描,使用whois进行域名反查。
2、漏洞利用:根据得到的信息上网查找相关版本中间件或是端口号,找一找看有没有存在什么版本漏洞并且站点没有打补丁的,然后根据漏洞进行利用获取数据或权限。
3、手工测试:主要找信息泄露漏洞、逻辑漏洞、XSS和SQL注入漏洞、CSRF、SSRF漏洞。也有一些中间件漏洞,一般存在这种漏洞在第1点用goby扫描的时候会出现。我们手工这要测试上面的漏洞。手工测试主要使用burp suite进行抓包测试,也可以联动sqlmap进行测试。
4、测试完成:最后编写渗透测试报告对渗透测试的过程进行记录,并提交测试报告给项目经理。
大概就这些,后面想到什么在补充。
最后
以上就是无限紫菜为你收集整理的渗透测试流程的全部内容,希望文章能够帮你解决渗透测试流程所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复