渗透测试入门基础知识

最新推荐文章于 2024-04-12 10:57:53 发布
最新推荐文章于 2024-04-12 10:57:53 发布
阅读量3.8k 收藏 54
点赞数 5
分类专栏: 云计算网络安全 渗透测试 文章标签: 信息安全 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Han_V_Qin/article/details/109597948
版权

一、什么是渗透测试?

    渗透测试(penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,这个过程包括对系统的任何弱点, 技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且这个位置有条件注定利用安全漏洞。换句话来讲,渗透测试是指渗透人员在不同的位置(比如从内网、外网等位置),利用各种手段来对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。

二、渗透测试流程

    明确目标 编写报告
    信息收集 信息整理
    漏洞检测 获取所需
    漏洞验证 信息分析

三、渗透测试分类

1、黑箱测试

    黑箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。

2、白盒测试

    白盒测试与黑箱测试恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片段,也能够与单位的其它员工(销售、程序员、管理者……)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。

3、隐秘测试

    隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。

四、对目标进行分类

1、主机操作系统渗透

    对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。

2、数据库系统渗透

    对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。

3、应用系统渗透

    对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。

4、网络设备渗透

    对各种防火墙、入侵检测系统、网络设备进行渗透测试。

hxm1216
关注
  • 5
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试基础篇一基础入门整理笔记
学习、分享、交流
04-13 3110
黑客是对任何计算机操作系统的神秘工作方式都非常感兴趣的人。黑客通常是程序员。他们收集操作系统和编程语言的高级知识,发现系统内部的漏洞以及产生这些漏洞的原因。
渗透测试资料
04-16
渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
小白入门黑客之渗透测试基本流程(全网最详细,附工具)
最新发布
xiaoganbuaiuk的博客
04-12 965
经常会收到小伙伴们这样的私信:为什么我总是挖不到漏洞呢?渗透到底是什么样的流程呢?全篇文章内容较长,请耐心观看!
渗透测试入门
vusida的博客
06-29 295
渗透测试入门 1.信息收集 信息收集是进行网络攻击的第一步,就像是特种部队作战前的情报收集,有了良好的情报收集工作为基础,攻击过程自然目标明确、事半功倍。这一步相对简单,但也非常重要。 信息收集大概可以分为几大类:IP发现、域名发现、互联网信息收集、服务器信息收集、网站关键信息收集、端口扫描。 IP发现:1.IP反查域名。这里可以使用系统自带的ping命令去反查域名,可以使用whois在线查询工具进行反查(如:站长之家、站长工具、中国互联网信息中心)。如果是域名反查IP同样可以使用这些工具、简单的ping
渗透测试如何入门
2201_75362610的博客
03-11 123
学完一套就学第二套,起码得看三套视频,这三套有很多知识点是重叠的,但是因为讲解人的讲解方法不同,你也就会有不一样的理解,更能帮助你消化吸收知识。其中,想要懂得多比较容易实现,多学习知识就行了,但是否能把知识用于工作,这就是解决问题的能力了,这个能力需要培养,也有的人解决问题的能力天生就比别人好,这也就是为什么有些学历低的人,却比很多学历高的人混的还要好的一个很重要的原因了。每天遇到新的问题,我们不妨用笔记录下来,一个一个的解决,不要着急,古人云:欲速则不达,慢慢的,你的只是储备量就会多起来的。
干货|2020渗透测试面试问题大全 建议收藏
热门推荐
RuoLi_s的博客
01-28 2万+
转自HACK之道 乌雲安全 渗透篇 0.渗透测试知识体系结构 1、介绍一下自认为有趣的挖洞经历 挖洞也有分很多种类型,一种是以渗透、一种是以找漏洞为主,如果是前者会想各种办法获取权限继而获取想要的的东西完成渗透目标,这类跟HW类似,目标各种漏洞不算,要有Shell,服务器权限才给分,这才是最接近实战渗透,跟某部门有合作的话也是属于这种打击网络犯罪获得权限、传销数据、组织架构,服务器权限、等… 2、你平时用的比较多的漏洞是哪些?相关漏洞的原理?以及对应漏洞的修复方案? SQL注入、密码组合,前者防护分为
Web渗透测试入门视频课程.txt
06-11
Web渗透测试入门视频课程,基础知识,简单易懂,主要介绍系统和工具的使用,是渗透入门首选课程,能配合靶场练习的话进步就很快了。
渗透测试常规思路分析
02-26
渗透测试是门技术,也是一门艺术。这门技术(艺术)一开始也不是每个人都会的,正所谓没有人一出生就会走路,从不懂到入门到深谙,一步步慢慢来,每个人都是这样;但是在这个过程中,思路无疑是最重要的,没有做不到...
WEB安全入门基础.pptx
08-24
WEB 安全入门基础主要包括 WEB 安全的基本概念、WEB 安全入门基础知识点、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 HTTP 协议 HTTP 协议是 WEB 安全的基础协议,了解 HTTP 协议是 WEB ...
渗透测试初级面试题.doc
11-19
渗透解题思路以上十道入门题大家答得如何?...答对8道题及以上的同学,你已经掌握了部分渗透测试基础知识; 答对5道题的的同学,你的基础还有待提高; 答对3道题及以下的小伙伴,我就不好意思说了…
新手学习渗透测试入门指南
wusimin432503的博客
06-19 2456
新手学习渗透测试入门指南
一份网络攻防渗透测试的学习路线,不藏私了
dzqxwzoe的博客
03-18 1506
一份网络攻防渗透测试的学习路线,不藏私了!1、学习编程语言(php+mysql+js+html)可以帮助你快速的理解B/S架构是怎样运行的,只有理解了他的运行原理才能够真正的找到问题/漏洞所在。所以对于国内那些上来就说渗透的我是很鄙视的可以帮助你理解到XSS的payload构造,以及Dom型的XSS挖掘。注意我这是没有说不会JS就找不到XSS漏洞,只不过是不能构造payload以及DOM型的XSS挖掘的。
网络安全|渗透测试入门案例分析,从零基础入门到精通—登录框页面的快速渗透常用检测手段
Jum的博客
06-21 1825
随着平台的多样性,用户需求的不断提高,为了方便用户通过一次性用户身份验证登录多个应用程序和网站,大多数平台都会使用 SSO 系统。在后端机制中,存在一个安全错误配置,它没有检查是否是为特定应用程序生成的 JWT 令牌——相反,它接受任何具有有效签名的 JWT 令牌。可以手动测试例如下面的一些高频弱口令,2.根据网站所使用的第三方组件,寻找特定的弱口令或默认口令进行登录。或者直接BP走一波。在网站后台登录的页面常用的渗透办法今天给大家分享一下,这样更好的让大家在日常维护网站的时候好注意在各个方便进行防御。
网络渗透资料大全单——工具篇(上)
gardentop的博客
04-28 5663
工具渗透测试系统版本Kali——一个Linux发行版,用来做数字取证和渗透测试传送门↓https://www.kali.org/NST——网络安全工具包发行版传送门↓http://networksecuritytoolkit.org/nst/index.htmlPentoo——着眼于安全的基于Gentoo的 LiveCD传送门↓http://www.pentoo.ch/BackBox——基于Ubu...
渗透测试视频资料
zhusongziye的博客
11-22 8158
渗透测试视频资料 渗透测试视频教程链接:https://pan.baidu.com/s/1tpb3aeB9Hqu7XWHTTI4bEw 密码:76sk 需要请下载保存,以免被和谐!
渗透测试知识点--选择题
千寻的博客
02-08 1万+
RDP的端口号为() A. 3389 B. 23 C. 22 D. 443 Burp Suite 是用于攻击()的集成平台。 A. web 应用程序 B. 客户机 C. 服务器 D. 浏览器 使用nmap进行ping扫描时使用的参数() A. -sP B. -p C. -p0 D. -A nmap的-sV是什么操作() A. TCP全连接扫描 B. FIN扫描 C. 版本扫描 D....
渗透基础知识入门(自学笔记)
woqusss的博客
07-31 3125
渗透,要学的东西还是比较广,需要有一些基础知识作铺垫开始学,而且作为一个刚踏上学习道路不久的小伙子更应该在学习道路中不断补充更多基础知识,如编程语言,网络知识等,该篇笔记做一些基础知识的铺垫,主要围绕网络知识(域名,DNS,数据包),操作系统,数据库,Web组成架构(网站源码,操作系统,中间件,数据库),Web相关安全漏洞介绍,拓展,后门,常见的加密方式 比方说,我现在想日了某站点,那么总应该知道这个站点是哪个名字或者有什么唯一标识吧,这时候就有了IP(每一个网络和主机都会有一个逻辑地址,在交换数据
Kali Linux渗透测试全程课与脚本语言编程系列课程
09-29
一、课程概要         本课程主要分享分享Kali Linux渗透测试全程课与脚本语言编程系列课程! 二、课程目标          本课程致力于帮助广大学员掌握Kali Linux渗透测试与编程技巧! 三、适合人员         本课程适合兴趣计算机与网络安全技术的学员观看学习! 四、特别提醒         本课程支持一次购买,享受永久观看,欢迎大家选购!
渗透测试 完全初学者指南 读书笔记 【六】漏洞检测
weixin_46703850的博客
04-03 2604
【六】漏洞检测1.Nessus1.1 启动NessusNmap 脚本引擎(NSE) 介绍:记录读书笔记 ❤️ 书名:渗透测试 完全初学者指南 kali Linux(带Metasploit) windows XP sp2(未安装安全补丁,ip=192.168.159.132) 1.Nessus Nessus安装及使用简单介绍 1.1 启动Nessus 在这里插入代码片 Nmap 脚本引擎(NSE) Nmap 脚本存放目录 cd /usr/share/nmap/scripts ls 2.
网络安全渗透测试入门
07-27
网络安全渗透测试是一项重要的技术,用于评估系统和网络的安全性,发现潜在的漏洞和弱点。以下是一些入门的步骤和建议: 1. 学习基础知识:了解计算机网络、操作系统和常见的漏洞类型,包括身份验证、授权、输入验证、配置错误等。 2. 学习渗透测试方法:了解渗透测试的基本方法和常用工具,如信息收集、扫描、漏洞利用和权限维持等。 3. 了解法律和道德问题:确保你了解相关法律和道德规范,遵守国家和地区的法律法规,并获得合法的授权进行渗透测试。 4. 设置实验环境:建立一个安全的实验环境,例如使用虚拟机或容器,以便在没有对真实系统造成影响的情况下进行实践。 5. 信息收集:使用各种技术和工具,如WHOIS查询、端口扫描、网络映射等,收集目标系统和网络的信息。 6. 漏洞扫描:使用自动化工具(如Nmap、OpenVAS等)进行漏洞扫描,发现系统中存在的已知漏洞。 7. 漏洞利用:根据扫描结果,选择合适的工具和技术进行漏洞利用,以验证系统中的漏洞。 8. 提供报告和建议:将渗透测试的结果整理成报告,包括发现的漏洞、风险评估和建议修复措施。 9. 持续学习和实践:网络安全领域变化迅速,持续学习新的技术和攻击方法,并通过实践提升自己的技能。 请注意,在进行渗透测试时,务必遵守法律和道德规范,并获得合法的授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值