详细介绍渗透测试与漏洞扫描

已于 2023-08-18 18:30:45 修改
阅读量490 收藏
点赞数
文章标签: 网络 安全 web安全 数据库 服务器 linux
于 2023-08-18 18:30:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75571291/article/details/132367383
版权

一、概念

渗透测试:

渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法;通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动的主动分析,这个分析是从一个攻击者可能存在的位置来及进行的,并且从这个位置有条件主动利用安全漏洞。

渗透测试有两个显著特点:

1、渗透测试是一个渐进的并且逐步深入的过程,由浅入深,一步一步的刺向目标的心脏,就是所谓的夺取靶机。2、渗透测试一方面从攻击者的角度,检验业务系统的安全防护措施是否有效,各项安全策略是否得到惯切实施,另一方面渗透测试会将潜在的安全风险以真实事件的方式凸显出来,渗透测试结束后,编写渗透测试报告反馈给客户,立即进行安全加固,解决测试发现的安全问题。

渗透测试分类:

通常分为黑盒测试、白盒测试、灰盒测试。

漏洞扫描:

漏洞扫描简称漏扫是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测。

漏扫的工具:

我们在工作中一般都是使用NESSUSawvsOpenVASNetSparkerOWASP ZAP等工具。

漏洞扫描分类:

一般分为网络扫描和主机扫描。

通过漏洞扫描,扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。

4.png

二、工作流程

渗透测试的一般过程:

主要有明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、信息整理、形成测试报告。

渗透测试操作难度大,而且渗透测试的范围也是有针对性的,而且是需要人为参与。听说过漏洞自动化扫描,但你绝对听不到世界上有自动化渗透测试。渗透测试过程中,信息安全渗透人员小使用大量的工具,同时需要非常丰富的专家进行测试,不是你培训一两月就能实现的。

漏洞扫描是在网络设备中发现已经存在的漏洞,比如防火墙,路由器,交换机服务器等各种应用等等,该过程是自动化的,主要针对的是网络或应用层上潜在的及已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用的。漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些产品,需要拥有特定于产品的知识。

漏洞扫描主要通过ping扫描、端口扫描、OS探测、脆弱性探测、防火墙扫描五种主要技术,其中每一种技术实现的目标和运用的原理都是不相同的,ping扫描工作在互联网层;端口扫描、防火墙探测工作在传输层;OS探测、脆弱性探测工作在互联网测试层、传输层、应用层。ping扫描主要是确定主机的IP地址,端口扫描探测目标主机的端口开放情况,然后基于端口扫描的结果,进行OS探测和脆弱点扫描。

e21de34a98e863e66cff65cda0abdba.png

一般大型公司会采购自动化的漏洞扫描产品,每天或者每周都能定期的进行漏洞扫描,类似于在电脑上安装杀毒软件,每天只需要扫一扫就可以,定期的进行杀毒。而渗透测试的在新产品上线,或者发现公司有非常重要的数据在服务器上,害怕泄露,被窃取,让专业的安全厂商,定期进行人工的渗透测试。

可见两者并不是独立存在的,也是需要结合使用,才能达到最佳的效果,确保公司的信息化安全。

三、性质

渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。

我们可以结合案例来说一下漏洞扫描与渗透测试的区别:

这里我们已Nessus为例做漏洞扫描测试,现在的Nessus扫描的IP地址的个数做了限制,貌似只能扫描16个主机IP,但是小白我在朋友的帮助下搞到了一个Nessus的虚机版本。首先先本地打开https://192.168.205.149:8834,Nessus登陆的端口一般是8834,我本地扫描了一下我的虚机主机。

48098b574aa34eb09dda0b4947e22b5.png

扫描的结果可以导出来进行本地查看的:

   

                  如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)

👉网安(嘿客)全套学习视频👈

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

​​

​​

👉网安(嘿客红蓝对抗)所有方向的学习路线👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

​​

 学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述​​

面试题资料

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
在这里插入图片描述​​

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

在这里插入图片描述​​

如果你有需要可以点击👉CSDN大礼包:《嘿客&网络安全入门&进阶学习资源包》免费分享

你别管我了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web漏洞扫描器原理_每周一喂丨用于渗透测试的10种漏洞扫描工具
weixin_39706861的博客
10-22 2176
漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患。漏洞扫描工具有助于检测安全漏洞、应用程序、操作系统、硬件和网络系统。漏洞扫描程序可连续和自动扫描,可以扫描网络中是否存在潜在漏洞。帮助IT部门识别互联网或任何设备上的漏洞,并手动或自动修复它。在本文中,我们将介绍市场上可用的十大最佳漏洞扫描工具。1.OpenVAS漏洞扫描工具OpenVAS漏洞扫描器是一种漏洞分析...
渗透测试漏洞扫描的区别
04-26
了解渗透测试漏洞扫描的区别主要区别和使用场景,二者是否需要人为参与或是否是自动化。可以了解到具体使用的应用,比如防火墙,路由器,交换机服务器等等,对于产品的安全和使用有更深层次的了解。
渗透测试漏洞扫描工具AWVS附安装使用教程
07-12
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。AWVS是渗透测试的常用工具,操作简单
渗透测试-----网络漏洞扫描(原理步骤、AWVS、OpenVAS、“永恒之蓝”测试)
热门推荐
Pluto.的博客
12-14 1万+
文章目录渗透测试网络漏洞扫描一、概述1. 简述2. 漏洞扫描原理3. 漏洞扫描器原理4. Web漏洞扫描步骤二、AWVS1. 概述2. 安装3. web扫描器三、OpenVAS1. 概述2. kali上安装1)更新kali源2)安装openvas3)其他说明3. 基本步骤1)扫描目标2)扫描策略3)扫描任务4)扫描完成5)扫描报告4. MSF概述5. 测试 ms17-010--“永恒之蓝” 渗透测试 网络漏洞扫描 一、概述 1. 简述 如何及时、快速发现Web应用安全漏洞,并且修补安全漏洞,减轻或消除Web
全面了解渗透测试漏洞扫描对构建网络安全环境真的很重要
dexunjiaqiang的博客
04-15 965
换句话说,它非常彻底。渗透测试的结果不仅可以让您知道您的锁是否被解锁或损坏,还可以让您首先知道它的锁有多好,以及将其替换为您是否会得到更好的服务更难选择的东西。——丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。——涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。渗透测试是一种更深入、更昂贵和更复杂的方法,能够真正评估目标风险,而漏洞扫描更容易更频繁地执行,以在表面上识别广泛的潜在漏洞。
渗透测试 vs 漏洞扫描:差异与不同
xxue345678的博客
06-20 243
渗透测试漏洞扫描常常被混淆,这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文,带你了解两者之间的差异与不同。
漏洞扫描渗透测试的区别
weixin_51725318的博客
02-09 568
漏洞扫描渗透测试的区别
电力行业+网络安全+渗透测试+漏洞扫描
08-16
伴随着互联网技术的普及与应用,网络安全问题已经上升到国家安全的层次;...文章以某水电厂电力监控系统的发展过程为切入点,详细介绍电厂实现电力监控系统安全防护的方法,为其他电力企业建设提供参考。
42-42.渗透测试-漏洞扫描原理.mp4
最新发布
05-10
42-42.渗透测试-漏洞扫描原理.mp4
渗透测试之目录扫描
03-18
DirBuster-1.0-RC1主要用于渗透测试必备工具之一,主要网站目录扫描,信息收集,支持php,asp、jsp、aspx、以及Java等信息收集,通过扫描的结果进一步利用,发现站点漏洞,有利于下一步测试。
渗透测试漏洞扫描的区别
LMD_BTBU的博客
10-11 6274
因为最近在探究关于工控安全的研究课题,在渗透测试漏洞扫描这两个概念上有点区分不太清楚,查了很多资料都觉得不够清楚,难以理解,于是在FreeBuf.COM上看到了一篇文章—《浅谈渗透测试漏洞扫描》,觉得其解释得十分清楚,因此特转载分享。 我们可从以下四点来解释其区别: 1、概念 渗透测试渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法;通过模拟恶意黑客的攻击方法,来评估计算机网...
如何利用Burp suite进行人工渗透测试
weixin_45261709的博客
07-10 184
扫描结果根据严重程度分为High、Medium、low和Information,根据置信度分为Certain、Firm、Tentative;在Advisory中可以查看问题的细节、背景、修改方法等;对于GET请求,可以复制URL,粘贴到浏览器,重新发出请求进行验证。在代理浏览器中输入地址访问,输入登录用户、密码,点击【登录】,拦截到登录的请求;点击【Forward】发包,浏览器成功登录系统。下次使用就直接打开burp-loader-keygen.jar,然后点击【run】就可以了。在浏览器设置中导入证书;
网络安全渗透测试漏洞扫描的区别!
oldboyedu1的博客
01-05 330
漏洞扫描相比,渗透测试的成本更高,因为渗透可以在漏洞扫描的基础上挖掘更深层次的漏洞,时间比漏洞扫描更长。在网络安全体系中,渗透测试漏洞扫描是非常常见的专业词汇,也是我们学习时候必须要了解的知识点,那么渗透测试漏洞扫描有什么区别?渗透测试:是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估,是为了证明网络防御按照预期计划正常运行而提供的一种机制。漏洞扫描:是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。
渗透测试常用WEB安全漏洞扫描工具集合
2201_75362610的博客
04-08 5320
渗透测试阶段信息收集完成后,需根据所收集的信息,扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。在漏洞扫描实战过程中,一般会首选AWVS,因为这个能扫描出来的漏洞很多,而且使用比较简单。
漏扫和渗透测试之比较
TT成长博客
02-13 4755
安全的都知道漏扫,听过渗透测试。当甲方说,渗透太贵了,为什么那么贵,如果只是说,渗透麻烦,花人工,貌似不是特别的有说服力,那么到底两者区别是哪些,那么就一起再捋一遍吧。
10种用于渗透测试漏洞扫描工具有哪些_渗透测试漏洞扫描区别
Y525698136的博客
05-05 2743
[漏洞扫描]程序可连续和自动扫描,可以扫描网络中是否存在潜在漏洞。帮助It部门识别互联网或任何设备上的漏洞,并手动或自动修复它。
渗透测试漏洞扫描的关联和区别
05-26
渗透测试漏洞扫描是信息安全领域中常用的两种技术,它们的关联和区别如下: 关联: 1. 目的相同:渗透测试漏洞扫描的目的都是发现系统或应用程序中的安全漏洞。 2. 工具相似:渗透测试漏洞扫描使用的工具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值