渗透测试流程

最新推荐文章于 2024-04-23 17:21:37 发布
最新推荐文章于 2024-04-23 17:21:37 发布
阅读量149 收藏
点赞数
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/R3332136304/article/details/109159802
版权

渗透测试流程

明确目标

  1. 在进行渗透测试前,需要了解我们要进行测试的目标及范围(域名,IP)
  2. 进行渗透测试的时间(开始测试时间,结束测试时间,测试周期是多久)
  3. 允许进行渗透测试的方式(是否允许弱密码爆破,缓存区溢出漏洞探测,社工)
  4. 允许进行渗透测试的程度(是否允许提权,上传木马,内网渗透)

信息收集

  1. 收集目标域名,子域名
  2. IP,开放端口及对应服务
  3. web应用容器(中间件)
  4. 脚本语言
  5. 数据库版本
  6. 人员信息(邮箱,电话)
  7. 历史漏洞

漏洞探测

  1. 使用系统漏洞扫描器及web漏洞扫描器进行扫描
  2. 手工探测

漏洞验证

  1. 使用漏洞利用工具对漏洞进行验证(msf)
  2. 手动验证,编写Poc

输出报告

输出对应的渗透测试报告

  1. 测试范围
  2. 存在漏洞的目标及对应的漏洞
  3. 漏洞描述
  4. 漏洞修复建议
R公子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试流程
weixin_46248422的博客
06-15 1556
1.windows目录形式为c\widows\,当然还有d盘、e盘。以“”“\为分割符”。 linux目录形式为/etc/
测试流程
w2422746377的博客
06-28 220
测试流程 测试工作流程也许会有些许差别,但大体上都不会有太大的偏差,基本上包括需求评审、制定测试计划、设计测试用例、用例评审、测试执行、撰写测试报告等文档 需求评审: 不管是自研产品或其他产品,测试人员都要参加需求评审的会议。一方面,便于了解需求进而更好地开展之后的测试工作;另一方面,测试人员往往是从用户角度考虑居多,更加能够从用户的角度提出符合实际的建议。 制订测试计划: 待需求最终确定下来后,则可以开始制定测试计划,确定测试目标、测试范围、测试方法、测试策略、资源安排、风险评估等。 测试用例
渗透测试之信息收集篇
未完成的歌~的博客
02-01 5940
文章目录前言:一、域名信息收集:1、Whois查询:2、备案信息查询:二、敏感信息收集:1、Google Hacking语法:2、FOFA网络安全空间搜索:3、Github信息泄露:三、子域名收集:1、子域名检测工具:2、利用搜索引擎发现子域:3、通过在线工具搜集:四、端口探测:1、Nmap:2、Masscan扫描工具:3、在线网站:常见的端口及其说明:五、CMS指纹识别:1、在线网站:2、指纹识别工具:3、CMS漏洞查询:六、查找真实IP:1、什么是CDN:2、如何判断目标服务器使用了CDN:3、如何寻找
渗透测试之信息收集
weixin_52180702的博客
07-12 7233
渗透测试之信息收集
渗透测试——信息收集(超详细)
最新发布
qq_62291388的博客
04-23 2117
该篇详细记录了渗透测试的前期——信息收集讲解
渗透测试——信息收集
xy_wjyjw的博客
03-08 912
信息收集是在做渗透时找尽可能的多的信息,为之后的渗透做铺垫。信息收集的方法有很多比如,页面、真实的IP、域名/子域名、敏感目录/文件、端口探测、CMS指纹识别、操作系统识别。
渗透测试之信息收集篇(含思维导图)
热门推荐
清泪的博客
08-14 1万+
TXT记录一般指为某个主机名或域名设置的说明,如:2)mail IN TXT "邮件主机, 存放在xxx ,管理人:AAA",Jim IN TXT "contact: abc@mailserver.com"也就是您可以设置 TXT ,以便使别人联系到您。如何检测TXT记录?1、进入命令状态;(开始菜单 - 运行 - CMD[回车]);2、输入命令" nslookup -q=txt 这里填写对应的域名或二级域名",查看返回的结果与设置的是否一致即可。......
小白必看,渗透测试的一般流程(过程)
AzulSystems的博客
02-11 117
成功后再应用于目标中。· · 按需整理:按照之前第一步跟客户确定好的范围,需求来整理资料,并将资料形成报告。· 人员信息:域名注册人员信息,web应用中网站发帖人的id,管理员姓名等。· 绕过检测机制:是否有检测机制,流量监控,杀毒软件,恶意代码检测等(免杀)· 开放搜索:利用搜索引擎获得,后台,未授权页面,敏感url等。· · 整理渗透工具:整理渗透过程中用到的代码,poc,exp等。· 获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)· 应用信息:各端口的应用,例如web应用,邮件应用等等。
渗透测试流程图.zip
04-06
这份"渗透测试流程图.zip"文件包含了详细的渗透测试过程,主要目的是帮助IT专业人士和安全工程师理解并实施这一过程。其中的"渗透测试流程图.pdf"很可能是以图形化的方式详细展示了每个阶段及其相互关系。 渗透测试...
完整渗透测试过程讲解
09-04
以上是一个完整的渗透测试流程,每个步骤都需要专业知识和技术。渗透测试不仅仅是一次性的活动,而是持续的安全改进过程,有助于企业提高网络安全防护能力。在进行渗透测试时,应始终保持合规性和专业性,以保护企业...
渗透测试流程.zip
04-06
在这个"渗透测试流程.zip"文件中,我们主要聚焦于渗透测试工程师面试中可能遇到的问题和相关知识点。以下是关于渗透测试流程的详细阐述: 1. **渗透测试预备阶段** - **需求分析**:理解客户的业务需求,确定测试...
渗透测试流程 xmind
08-21
思维导图格式
谈一谈渗透测试流程
02-24
本文根据作者的渗透测试经验,讲讲基本的渗透测试流程,分享给大家。当拿到一个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些...
渗透测试之——基本信息收集
JieDG的博客
05-12 572
1 信息收集 进行渗透测试之前,最重要的一步就是信息收集。在这个阶段,我们要尽可能地收集目标的信息。所谓“知己知彼,百战不殆”,我们越了解测试目标,测试的工作就越容易。 测试:白盒、灰盒、黑盒等测试 2 收集方式 信息收集的方式可以分为两种:主动信息收集和被动信息收集。 主动信息收集: 通过直接访问、扫描网站,这种流量将流经网站如AWVS、Nessus、OpenVAS、Burpsuite、OWASP ZAP。 特点:效率高、缺点:容易误报,容易被发现 被动信息收集: 利用第三方的服务对目标进行访问了解,比
渗透测试-信息收集篇
p656456564545的专栏
03-09 1292
子域名挖掘技巧 http://zone.wooyun.org/content/25777
渗透测试之信息搜集专题
weixin_51339377的博客
04-14 2114
渗透测试流程: 1.信息搜集: 1.获取域名whois信息(邮箱,电话,使用社工库查看泄露密码。尝试登录后台,邮箱-->搜索引擎查询--->社交账号,管理员生成密码的习惯,生成密码字典) 2.查询服务器子站点,因为主站很难,可以查看是否有某个CMS或者其他漏洞 3.看其ip地址,进行端口的扫描,进行漏洞探测,看是否有mysql,web服务器,ftp,ssh,3389...... 尝试弱口令,管理员设置的缺陷,敏感文件泄露 4.查看服务器操作系统版本,nmap -o可以查,web中间.
渗透测试方法和流程
weixin_30872733的博客
11-15 306
1,分析目标网站内容及功能 (1) 首先确定网站采用何种语言编写.或者是否有混用的情况.此处可以通过查看网站源文件,观察网站链接,捕获提交请求等方式获取. (2) 爬行网站目录,使用工具对网站目录进行爬行,可以辅助上一步让结果更加精准.将爬行结果存档,如果可以,此处应分析出网站是否使用通用程序,如果是,记录下来.进行下一步. (3) 根据上一步的爬行结果,对网站根目录...
一次完整的渗透测试流程
05-23
一次完整的渗透测试流程通常分为以下几个步骤: 1. 阶段一:信息收集 这个阶段是为了获取目标系统的信息,包括IP地址、域名、网络拓扑结构、操作系统、服务、应用程序等等。渗透测试人员可以使用各种工具和技术,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值