滲透測試就是利用我們所掌握的滲透知識,對網站進行一步一步的滲透,發現其中存在的漏洞和隱藏的風險,然后撰寫一篇測試報告,提供給我們的客戶。客戶根據我們撰寫的測試報告,對網站進行漏洞修補,以防止黑客的入侵!
滲透測試流程舉例?
我們現在就模擬黑客對一個網站進行滲透測試,這屬于黑盒測試,我們只知道該網站的URL,其他什么的信息都不知道。
確定目標
確定范圍:測試目標的范圍、ip、域名、內外網、測試賬戶。
確定規則:能滲透到什么程度,所需要的時間、能否修改上傳、能否提權、等等。
確定需求:web應用的漏洞、業務邏輯漏洞、人員權限管理漏洞、等等。
信息收集
方式:主動掃描,開放搜索等。
開放搜索:利用搜索引擎獲得:后臺、未授權頁面、敏感url、等等。
基礎信息:IP、網段、域名、端口。
應用信息:各端口的應用。例如web應用、郵件應用、等等。
系統信息:操作系統版本
版本信息:所有這些探測到的東西的版本。
服務信息:中間件的各類信息,插件信息。
人員信息:域名注冊人員信息,web應用中發帖人的id,管理員姓名等。
防護信息:試著看能否探測到防護設備。
漏洞探測
漏洞驗證
內網轉發
內網橫向滲透
權限維持
痕跡清除
撰寫滲透測試保告
京公網安備 11010802030320號