第一章 了解渗透测试
渗透测试的前提 我们经过用户的授权 测试 对业务系统 提出修复建议
黑客入侵 黑产 挖矿病毒 勒索病毒 数据买卖
甲方
某某金融集团 某医院 某厂
运维 报告
乙方
某某安全公司 现较大体量的安全公司有 360 启明星辰 奇安信 深信服
赏金猎人 挖漏洞 360
软件
行业前景一般 南方 > 北方
渗透测试
渗透测试是模拟黑客的攻击方法,来评估计算机系统安全的一种评估手段。
在进行测试前,我们一般先需要获取到纸面文件来进行授权。这样才不会进去吃国家饭。
之后,我们先了解一下渗透测试的流程
渗透测试标准执行流程
前期交互
确定目标
沟通好项目交付时间
信息收集
ip地址
dns
详细的注册信息
操作系统的类型
开放的端口
威胁建模
利用上面收集的信息,标识出目标系统上可能存在的弱点。
漏洞分析
具体的去分析,漏洞如何去攻击
渗透攻击
利用前面获取的信息,对目标进行攻击
后渗透攻击
从已经攻陷的服务器中获取更高权限,如果有内网,则拿下对方的域控的服务器
报告
所使用工具
目标的漏洞
渗透的大概过程
修复建议