Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1667703
  • 博文数量: 2253
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 22659
  • 用 户 组: 普通用户
  • 注册时间: 2020-11-26 14:30
个人简介

更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号

文章分类

全部博文(2253)

文章存档

2024年(99)

2023年(643)

2022年(693)

2021年(734)

2020年(80)

我的朋友

分类: 网络与安全

2021-11-18 15:03:47

  相信大家对网络安全中的渗透测试都或多或少听说过吧,渗透测试对于网络安全来说是十分重要的,简单来说,就是对网站和服务器进行安全检测,专业人员通过模拟不法分子的手段,来检测我们的网站及服务器是否存在漏洞,那具体流程是怎样的呢?请看下文:

  第一步:明确目标

  1. 确定范围:也就是测试的范围,如:IP、域名、内外网、整个网站还是部分模块;

  2. 确定规则:渗透到的程序,比如是发现漏洞为止,还是继续利用漏洞、时间限制、能否修改上传,能否提权。

  第二步:分析风险,获得授权

  也就是分析整个渗透测试过程中可能产生的风险,比如大量测试数据的处理、正常业务是否影响、服务器发生异常应急、数据备份和恢复等;

  第三步:信息收集

  在此阶段,需要专业人士收集尽量多的关于目标Web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录结构、使用的开源软件、数据库类型、所用到的框架、所有链接页面等。

  第四步:漏洞探测

  此过程可以是手动也可以是自动,利用上一步中所列出的信息,使用相应的漏洞检测。

  第五步:漏洞验证

  将上一步中发现的有可能被利用的漏洞全部验证一遍,结合实际情况搭建模拟环境进行试验,成功后再应用到目标中。

  第六步:信息分析

  即为下一步实施渗透做准备

  精准攻击:准备好上一步探测到的漏洞exp,用来精准攻击;

  绕过防御机制:是否有防火墙等设备,该如何绕过;

  定制攻击路径:最佳攻击路径即根据薄弱入口,高内网权限位置,最终目标。

阅读(296) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~