滲透測試要哪些基礎?滲透測試就是針對一個信息系統,模拟黑客攻擊者的思維去适當信息收集,漏洞利用,發起攻擊,測試出應用系統所存在的緻命漏洞,然後出具滲透測試報告,指出存在的問題,漏洞複現截圖,漏洞存在的位置,提出修複漏洞的合理建議,下面我們就來聊聊關于滲透測試要哪些基礎?接下來我們就一起去了解一下吧!
滲透測試就是針對一個信息系統,模拟黑客攻擊者的思維去适當信息收集,漏洞利用,發起攻擊,測試出應用系統所存在的緻命漏洞,然後出具滲透測試報告,指出存在的問題,漏洞複現截圖,漏洞存在的位置,提出修複漏洞的合理建議。
任何的滲透測試都需要經過個人或企業的正當書面授權加以單位蓋章,負責人簽字,(公安備案),不經授權的任何滲透測試都屬于攻擊,都屬于違法。
滲透測試流程:一,明确滲透測試範圍,測試業務類型,比如WEB,數據庫,網絡,域服務,等。。。包含域名,IP,端口,系統,滲透測試時間段,滲透的程度
二,獲得授權,獲取滲透測試的授權書
三,信息收集階段:
(1)主動收集信息,就是要依靠一方單位的人員,進行溝通,從中拿到有用的信息。
(2)被動收集信息,在授權的滲透範圍資産,進行一定的域名查詢,IP獲取,注冊域名信息。可采用漏掃工具,手動測試方式,探取滲透對象的架構,服務器系統類型,使用的語言,服務組件版本信息。
(3)查詢當前的系統,熱門漏洞,poc。
四,漏洞探測,主要利用滲透工具進行漏洞探測,和手工測試,探測出目前的信息系統漏洞和弱點。
五,漏洞複現階段。也叫驗證存在的有效漏洞。
(1)複現第一次探測發現的全部漏洞
(2)邏輯漏洞,可以結合手工和工具,進行邏輯漏洞的驗證,複現漏洞。
六,分析,滲透目标是否有安全設備,繞過策略。攻擊(白盒測試不适用)
七,是否需要二次滲透,留後門,清除攻擊記錄,整理報告。
實際工作中,每個滲透測試工程師都有自己的滲透測試方法和步驟,大同小異也會遵守滲透測試的一個流程。确定滲透測試的目标和獲取滲透測試授權後,結合自己的經驗進行手工測試和測試工具的利用,測試出應用漏洞,形成報告,最後跟進漏洞的修複,完成一個滲透測試的閉環操作。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
