渗透测试漏流程(PTES)

渗透测试分类

  • 黑盒测试:在攻击者角度,没有任何已知信息
  • 白盒测试:拥有具体的所有信息
  • 灰盒测试:拥有部分信息(最常见的情况)

PTES渗透流程(七步骤)

前期交互阶段

  • 完成渗透授权的获取、签订合同、约定渗透时间、渗透范围

情报收集阶段

  • 收集客户网络情报,越详尽越好
  • 方法:利用工具收集(Nessus和Nmap等工具)、通过搜索引擎收集、通过社会工程学收集

威胁建模阶段

  • 根据收集的情报搭建客户网络的模拟环境进行渗透测试

漏洞分析阶段

  • 其中包括漏洞产生原因、原理、以及对应的解决方案等

渗透攻击阶段

  • 各种攻击手段,如漏洞利用,sql注入,XSS攻击等

后渗透阶段

  • 提升权限,获取更多用户信息
  • 清除痕迹,收回渗透过程上传的恶意脚本、木马等文件,删除渗透过程中创建的管理员账户等

报告阶段

  • 通过渗透,发现问题,形成渗透过程报告,以及漏洞修复解决思路

所有知识为个人总结向,仅供参考

在这里插入图片描述

很抱歉,我无法提供图片或流程图。但是,根据引用\[1\]和引用\[2\]的内容,PTES(Penetration Testing Execution Standard)渗透测试流程包括以下几个阶段: 1. 前期交互阶段:与客户组织进行讨论,确定渗透测试的范围和目标。这个阶段的关键是让客户组织明确了解渗透测试将涉及哪些目标。 2. 情报搜集阶段:收集与渗透测试目标相关的信息。 3. 威胁建模阶段:根据收集到的情报,对渗透测试目标进行威胁建模,确定可能的攻击路径和方法。 4. 洞分析阶段:对目标系统进行洞扫描和分析,发现潜在的安全洞。 5. 渗透攻击阶段:利用发现的洞进行渗透攻击,尝试获取未授权的访问权限。 6. 后渗透攻击阶段:在成功渗透后,进一步探索目标系统,获取更多敏感信息或扩大攻击范围。 7. 报告阶段:整理渗透测试的结果和发现,向客户提供详细的报告,包括洞描述、风险评估和建议的修复措施。 这是一个基本的PTES渗透测试流程,具体的流程可能会根据不同的组织和项目而有所不同。 #### 引用[.reference_title] - *1* *2* [渗透测试流程篇](https://blog.csdn.net/qq_37113223/article/details/104768073)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [渗透测试流程图](https://blog.csdn.net/weixin_45358803/article/details/106716888)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值