渗透测试的流程

最新推荐文章于 2024-03-09 14:09:03 发布
最新推荐文章于 2024-03-09 14:09:03 发布
阅读量607 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AzVoidSUN/article/details/108284375
版权

一般标准中的渗透测试流程
1.测试范围确定
双方共同指定一个规范,比如是否让做内网渗透,是否对业务系统渗透。
2.测试时间确定
做好时间规范,甲方会有时间准备,比如当天渗透了,甲方服务日报也不会误会是黑客入侵。
3.可接受测试底线
是否支持ddos,是否可以拖数据,支持爆破。
4.信息搜集
服务器信息,web信息,资产信息。
5.漏洞发现
进一步去查找漏洞。
6.漏洞利用
验证漏洞,并体现出漏洞价值。
7.后渗透测试
内网渗透,权限维持,提权,横向扩展。
8.文档编写
编写渗透测试报告,参与人员,时间,系统等。

PTES标准渗透中的测试流程
1.前期交互阶段
通常是与客户组织进行讨论,来确定渗透测试的范围和目标
2.情报搜集阶段
需要使用各种可能的方法来收集将要攻击的客户组织的所有信息、运行机理、以及最终如何被攻击
3.威胁建模阶段
使用在情报搜集阶段获取到的信息,来标识出目标系统上可能存在的安全漏洞与弱点
4.漏洞分析阶段
综合从前面几个环节中获取到的i信息,并从中分析和理解哪些攻击途径是可行的
5.渗透攻击阶段
在基本能够确信特定渗透攻击会成功的的时候,才真正对目标系统实施这次渗透攻击,当然在目标系统中很可能存在着一些没有预期到的安全防护措施,使得这次渗透攻击无法成功
6.后渗透攻击阶段
将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产
7.报告阶段
至少分为摘要、过程展示和技术发现这几个部分,技术发现部分将会被客户组织用来修补安全漏洞,但这也是渗透测试过程真正价值的体现

大碗宽面大又圆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透测试流程与内网渗透测试实战
悦分享
07-15 6730
关于免杀,我使用的全部是msf的编码自免杀,64位使用的是x64/zutto_dekiru,32位使用的是x86/shikata_ga_nai,360都没有拦截。虽然靶机中有360,但是我直接上传的mimikatz也没有被杀,所以我有些怀疑是360的版本比较低,除了web服务器上传的第一个payload,其它都进行了编码处理,而第一个也确实没有执行成功,这说明360至少对第一个payload是拦截了的。
渗透测试标准流程图[诸葛建伟].pdf
08-13
渗透测试标准流程诸葛建伟翻译版本 渗透测试流程图 PTES !
渗透测试基本流程
最新发布
ytt0523_com的博客
03-09 1295
渗透测试基本流程
小白必看!渗透测试的8个步骤
m0_59236127的博客
03-03 6064
渗透测试:以安全为基本原则,通过攻击者以及防御者的角度去分析目标所存在的安全隐患以及脆弱性,以保护系统安全为最终目标。入侵:通过各种方法,甚至破坏性的操作,来获取系统权限以及各种敏感信息。l 确定范围:测试目标的范围、ip、域名、内外网、测试账户。l 确定规则:能渗透到什么程度,所需要的时间、能否修改上传、能否提权、等等。l 确定需求:web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。l 方式:主动扫描,开放搜索等。l 开放搜索:利用搜索引擎获得:后台、未授权页面、敏感url、等等。l 基础信息:IP
渗透测试流程详细讲解
ytt0523_com的博客
07-06 1963
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试步骤
Shinyhuang_的博客
11-15 9933
#记录一下渗透测试中的一些知识点 #渗透测试可以说是模拟黑客入侵的行为,与之不同的是,我们目的是提高系统的安全性,保护系统而进行的测试。 常规渗透测试基本步骤,主要分为8个步骤:明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、文档整理、生成报告。流程如下图所示 渗透测试基本流程 1. 明确目标 确定目标范围、限度、需求等,然后制定渗透测试方案: 确定范围:测试目标ip、域名、内外网、测试账户、子网、旁站等。 确定规则:能渗透到什么程度,允许测试的时间段和周期、能否修
渗透测试流程 xmind
08-21
思维导图格式
渗透测试流程
01-27
渗透测试流程简介 哈哈哈哈 这个简介还是比较厉害的 。
渗透测试流程图.zip
04-06
渗透测试流程
谈一谈渗透测试流程
02-24
本文根据作者的渗透测试经验,讲讲基本的渗透测试流程,分享给大家。当拿到一个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些...
网银渗透测试流程
07-12
此文档是针对银行等金融行业渗透测试所做的渗透测试漏洞挖掘流程与方法!非常有用,尤其是以从业的安全人士、黑客等
渗透测试概述与流程
热门推荐
weixin_59872639的博客
01-12 1万+
渗透测试概述 渗透测试是一种通过模拟攻击的技术与方法,挫败目标系统的安全控制措施并获得控制访问权的安全测试方法。 网络渗透测试主要依据CVE已经发现的安全漏洞,模拟入侵者的攻击方法对网站应用、服务器系统和网络设备进行非破坏性质的攻击性测试。 CVE CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 渗透测试的目的 侵入系统获取机密信息,并将入侵的过程和细节产生报告提供给用户,由此确定用户系统存在的安全威胁,并能提醒安全管理员完善安全策略,降低安全
渗透测试流程简述
2301_77732591的博客
04-27 1829
渗透测试分为和黑盒测试,我们只知道该网站的URLNmap:一款功能强大的网络扫描和主机检测工具,可以用于收集信息、枚举、漏洞探测和安全扫描。Wireshark:一款抓包和分析网络流量的工具,可以用于监控和调试网络通信。Goby:一款新型的漏洞扫描平台,可以快速发现并利用各种漏洞,还可以联动其他工具如Xray和MSF。22——>ssh弱口令80——>HTTP服务873——>rsync 未授权访问漏洞3306——>mysql弱口令6379——>redis未授权访问漏洞。
渗透测试】最详细的介绍和流程方法(建议收藏)
2301_77472496的博客
06-08 2703
渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!
渗透测试的一般流程(过程)
dzqxwzoe的博客
03-02 1181
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。rookit,后门,添加管理账号,驻扎手法等。
渗透测试流程是什么?7个步骤给你讲清楚!
m0_47485438的博客
10-19 223
在学习渗透测试之初,有必要先系统了解一下它的流程,静下心来阅读一下,树立一个全局观,一步一步去建设并完善自己的专业领域,最终实现从懵逼到牛逼的华丽转变。渗透测试是通过模拟恶意黑客的攻击方法,同时也是在授权情况下对目标系统进行安全性测试和评估的过程。需要强调的是,重点是测试,是过程,而不是不计后果的攻击或测试防御,它是一套科学流程,不局限于某一工具或技巧的运用。
一次完整的渗透测试流程
05-23
一次完整的渗透测试流程通常分为以下几个步骤: 1. 阶段一:信息收集 这个阶段是为了获取目标系统的信息,包括IP地址、域名、网络拓扑结构、操作系统、服务、应用程序等等。渗透测试人员可以使用各种工具和技术,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值