一般标准中的渗透测试流程
1.测试范围确定
双方共同指定一个规范,比如是否让做内网渗透,是否对业务系统渗透。
2.测试时间确定
做好时间规范,甲方会有时间准备,比如当天渗透了,甲方服务日报也不会误会是黑客入侵。
3.可接受测试底线
是否支持ddos,是否可以拖数据,支持爆破。
4.信息搜集
服务器信息,web信息,资产信息。
5.漏洞发现
进一步去查找漏洞。
6.漏洞利用
验证漏洞,并体现出漏洞价值。
7.后渗透测试
内网渗透,权限维持,提权,横向扩展。
8.文档编写
编写渗透测试报告,参与人员,时间,系统等。
PTES标准渗透中的测试流程
1.前期交互阶段
通常是与客户组织进行讨论,来确定渗透测试的范围和目标
2.情报搜集阶段
需要使用各种可能的方法来收集将要攻击的客户组织的所有信息、运行机理、以及最终如何被攻击
3.威胁建模阶段
使用在情报搜集阶段获取到的信息,来标识出目标系统上可能存在的安全漏洞与弱点
4.漏洞分析阶段
综合从前面几个环节中获取到的i信息,并从中分析和理解哪些攻击途径是可行的
5.渗透攻击阶段
在基本能够确信特定渗透攻击会成功的的时候,才真正对目标系统实施这次渗透攻击,当然在目标系统中很可能存在着一些没有预期到的安全防护措施,使得这次渗透攻击无法成功
6.后渗透攻击阶段
将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产
7.报告阶段
至少分为摘要、过程展示和技术发现这几个部分,技术发现部分将会被客户组织用来修补安全漏洞,但这也是渗透测试过程真正价值的体现
扫一扫
1184
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
