Menu

牡丹江网站推广:渗透测试服务过程分为那几个步骤

<返回列表

牡丹江网站推广

渗透性测试是指渗透人员,他们通过模拟来自内部网络和外部网络的恶意黑客攻击方法并发现和利用系统中的漏洞或技术缺陷来测试特定网络。渗透测试报告已发布并发送给客户。这样,客户可以根据渗透者提供的渗透测试报告清楚地了解网络系统中的安全风险和问题。通常,一般的渗透测试服务过程分为六个步骤:1.明确目标2.信息收集3.漏洞检测4.漏洞验证5.漏洞攻击:漏洞利用,数据收集,渗透后测试6.信息收集和渗透测试报告结果

牡丹江网站推广mf_5d846c9e0b297.jpeg

第一步:明确目标1)确定范围:测试的范围,例如:IP,域名,内部和外部网络,完整的站或模块的一部分2)确定规则:在多大程度上(漏洞发现或继续利用漏洞),时间限制,修改负载的能力,权限可用性。介绍目标系统,对象和关键保护功能。 是否允许数据损坏?是否可以阻止公司的正常运营?测试前我应该通知相应部门的界面人员吗?访问方式?外部网络和内部网? 3)确定要求:Web应用程序中的漏洞?业务逻辑方面的差距?人权管理中的弱点? 4)分析渗透测试期间可能发生的风险,例如处理大量测试数据,对正常业务发展的影响,服务器的出现,数据备份和恢复,以及测试劳动力和物质资源的成本。 5)测试人员编写实现并将其发送给客户或负责人进行审查。审核完成后,请从客户或负责人处获得书面授权书,以授权测试人员执行渗透测试。第二步:信息收集在信息收集阶段,我们需要收集有关目标Web应用程序的尽可能多的信息,例如脚本语言的类型,服务器的类型,目录结构,所使用的开源软件,数据库的类型,所有链接的页面,使用的框架等。方式:主动扫描;打开搜索开放搜索:使用搜索引擎获取后台,未经授权的页面,敏感的URL基本信息:IP,网段,域名,端口系统信息:应用程序信息操作系统版本:application每个端口的名称,例如Web应用程序,邮件应用程序和其他版本信息:检测到的所有版本服务信息:服务器类型,版本人员信息:域名注册人信息,Web应用程序标识网站的名称,管理员的姓名和其他保护信息:测试可以检测到保护设备第三步:漏洞探测在收集到足够的信息后,开始检测WEB应用程序的漏洞并在网站上测试了一些常见的Web漏洞。漏洞探测方法:1)漏洞扫描工具:AWVS,AppScan,Owasp-Zap,Nessus等。 2)组合漏洞以找到exploit-db和其他位置3)在Internet内容:上找到验证POC系统漏洞:系统没有及时打补丁。漏洞:Web服务器配置问题。 Web应用程序的漏洞:Web应用程序的开发问题。端口服务的其他漏洞:通信安全性21/8080(st2)/7001/22/3389:传输明文,cookie中的令牌传输和其他常见漏洞,例如:SQL注入XSS跨站点脚本CSRF跨-站点请求伪造XXE漏洞SSRF服务器请求伪造漏洞文件包含漏洞文件上传漏洞远程执行代码漏洞跨域资源共享CORS未授权访问漏洞目录扫描漏洞和任意文件读取漏洞/下载漏洞struts2 JAVA反序列化漏洞第四步:漏洞验证验证在上一步中发现的可以成功利用的漏洞。结合实际情况,为测试创建一个模拟环境,然后在成功后将其应用于目标。 自动化验证:结合自动化扫描工具提供的结果 手工验证:根据公开资源进行验证 试验验证:自己搭建模拟环境进行验证 登录猜解:有时可以尝试猜解一下登陆口的账号密码等信息 业务漏洞验证:如发现业务漏洞,要进行验证 公开资源的利用 exploit-db/wooyun/渗透代码网站 通用、缺省口令 厂商的漏洞警告等第五步:漏洞攻击:利用漏洞,获取数据,后渗透测试 进一步渗透:内网入侵,敏感目标 持续性存在:一般对客户做渗透不需要rookit,后门,添加管理账号,驻扎手法等 清理痕迹:清理相关日志(访问,操作),上传文件等第六步:信息整理及渗透测试报告输出在完成了渗透测试之后,我们就需要整理资料,对这次渗透测试撰写渗透测试报告了。需要对漏洞成因,验证过程和带来危害进行分析。 明确写出哪里存在漏洞,以及漏洞修补的方法,以便于网站管理员根据我们的渗透测试报告修补这些漏洞和风险,防止被黑客攻击!

END

牡丹江网站推广 

更多阅读

牡丹江网站推广:渗透测试服务过程分为那几...

牡丹江网站建设 2019-11-12
渗透性测试是指渗透人员,他们通过模拟来自内部网络和外部网络的恶意黑客攻击方法并发现和利用系统中的漏洞或技术缺陷来测试特定网络。渗透测试报告已

牡丹江营销网站设计:javascript规范不同类...

牡丹江网站建设 2019-11-12
JavaScript是一种弱类型语言,因此它以多种方式编写。以下是编写代码时需要注意的事项 通用规范 文件编码 为避免内容混乱,使用
返回全部博文

Copyright © 2014-2019 低调seo牡丹江网站建设公司,牡丹江网络公司,牡丹江网站制作公司,牡丹江网站开发公司,版权所有

站点地图
扫描二维码关注我们:低调seo牡丹江网络公司
确 认