首先学渗透成为网安的第一步是熟读《中华人民共和国网络安全法》和《中华人民共和国刑法》的相关法律法规。
什么是渗透测试,渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的行为,是一种授权的行为。是对用户信息安全措施积极检测的过程,是对系统所有弱点,技术缺陷,漏洞检测的分析过程。那么渗透测试流程包含什么?以下是详细的内容介绍。
第一步:确定要渗透的目标,授予权限进行测试的站点。
第二步:收集目标网站的相关信息,比如:网站中间件及版本,操作系统及版本,数据库及版本,开放的端口服务,所使用的脚本语言,子域名,C段、旁站以及CMS系统等等。
第三步:漏洞探测(发现漏洞)。利用收集到的信息,寻找目标的弱点。(思路:如果目标网站使用的是某个CMS系统,那么就可以在百度里搜索对应CMS或者目标网站其他资产,后面加上漏洞复现的字眼来搜索对应CMS存在的历史漏洞,然后回到目标网站,看看目标网站存不存在这些漏洞)。
第四步:漏洞利用,找到对方系统的弱点后,就拿目标系统的最高权限(windows系统的最高权限是system,linux系统的最高权限是root)。
第五步:渗透目标内网的其他主机,把获得的目标机器权限,当作跳板,进一步攻克内网其他主机,直到控制目标系统的整个内网。
第六步:告诉开发修复漏洞的方法。
第七步:清除渗透痕迹(删除日志文件和日志备份文件),撰写测试报告。
注意!:如果你只想做一个漏洞赏金猎人,那么你只需要做到第三步就可以在一些src平台上进行提交漏洞了。(如果对网站造成破坏和损失,那么你以后可能要按时起床唱国歌。所以希望读者们都能做一个正义的白帽子,作者我只做技术分享,不负法律责任!谢谢。)
网络安全学习资源分享:
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)
同时每个成长路线对应的板块都有配套的视频提供:
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com)
因篇幅有限,仅展示部分资料,需要点击上方链接即可获取
扫一扫
9520
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
