渗透测试基本流程

已于 2024-01-20 19:05:34 修改
阅读量220 收藏
点赞数
文章标签: 安全 web安全 网络
于 2023-07-07 19:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZL_1618/article/details/131589788
版权
文章详细介绍了渗透测试的八个基本步骤,包括明确目标、信息收集、漏洞探测和验证、权限提升、清除痕迹、信息分析和报告编写,并强调了相关原则。此外,还提供了一份282G的网络安全学习资源包,包含入门到进阶的资料。
摘要由CSDN通过智能技术生成

1 渗透测试基本流程
  渗透测试的基本流程主要分为以下几步:

  1. 明确目标

  2. 信息收集

  3. 漏洞探测(挖掘)

  4. 漏洞验证(利用)

  5. 提升权限

  6. 清除痕迹

  7. 事后信息分析

  8. 编写渗透测试报告
    1.1 明确目标
      主要是确定需要渗透资产范围; 确定规则,如怎么去渗透; 确定需求,如客户需要达到一个什么样的效果。
    1.2 信息收集
      信息收集阶段主要是收集一些基础信息,系统信息,应用信息,版本信息,服务信息,人员信息以及相关防护信息。
      信息收集大多是工具加手工进行收集信息,工具如nmap,相关终端命令,浏览器插件,在线工具等。
    1.3 漏洞探测(挖掘)
      主要是探测(挖掘)系统漏洞,web服务器漏洞,web应用漏洞以及其他端口服务漏洞,如telnet,ssh,vnc,远程桌面连接服务(3389)等。
    1.4 漏洞验证(利用)
      漏洞验证主要是利用探测到的漏洞进行攻击,方法主要有自动化验证(msf),手工验证,业务漏洞验证,公开资源的验证等。
      总的来说就是工具加手工,为了方便,可以将自己渗透常使用的工具进行封装为工具包。
    1.5 提升权限
      提升权限主要是在当前用户权限不是管理员的时候需要进行提升权限,提升权限可以是提升系统权限,web应用权限或是数据库权限等。
    1.6 清除痕迹
      清楚痕迹主要是清除渗透过程中操作的一些痕迹,如添加的测试账号,上传的测试文件等。
    1.7 事后信息分析
      主要是对整个渗透过程进行信息分析与整理,分析脆弱环节,技术防护情况以及管理方面的情况进行一个现状分析以及提出相关建议。
    1.8 编写渗透测试报告
      根据渗透测试具体情况编写渗透测试报告,渗透测试报告必须简洁明了,说清楚渗透清单(范围),攻击路径,渗透成果,以及详细的漏洞详情(相关描述、漏洞危害等)及可行的修复建议,最后对整改渗透情况进行简单的总结和分析,说清楚目前资产的一个状况是什么样的,应该从哪些方面进行加强和提升。另外根据渗透测试报告可让第三方相对容易复现成功!
    2 渗透测试相关原则
    1.最小影响原则
    2.非破坏性原则
    3.全面深入原则
    4.保密性原则 学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员--青青
关注
渗透测试基本流程的介绍
11-02
渗透测试基本流程的介绍
小白必看!渗透测试的8个步骤
m0_59236127的博客
03-03 9898
渗透测试:以安全基本原则,通过攻击者以及防御者的角度去分析目标所存在的安全隐患以及脆弱性,以保护系统安全为最终目标。入侵:通过各种方法,甚至破坏性的操作,来获取系统权限以及各种敏感信息。l 确定范围:测试目标的范围、ip、域名、内外网、测试账户。l 确定规则:能渗透到什么程度,所需要的时间、能否修改上传、能否提权、等等。l 确定需求:web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。l 方式:主动扫描,开放搜索等。l 开放搜索:利用搜索引擎获得:后台、未授权页面、敏感url、等等。l 基础信息:IP
渗透测试_真详细!以实战学习渗透测试流程及报告(图文+视频讲解)
最新发布
yy1715713348的博客
08-05 362
学习干货|小白女友看完这篇文章后,面试工作和护网蓝队初级竟然秒通过!*** 如您认为文章质量对您有所帮助,麻烦点个关注并转发让更多人看到**[渗透测试|一次丝滑的渗透测试记录][漏洞挖掘|记一次对某杀猪盘的漏洞挖掘(反诈)
渗透测试流程详细讲解
ytt0523_com的博客
07-06 3639
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试步骤
热门推荐
Shinyhuang_的博客
11-15 1万+
#记录一下渗透测试中的一些知识点 #渗透测试可以说是模拟黑客入侵的行为,与之不同的是,我们目的是提高系统的安全性,保护系统而进行的测试。 常规渗透测试基本步骤,主要分为8个步骤:明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、文档整理、生成报告。流程如下图所示 渗透测试基本流程 1. 明确目标 确定目标范围、限度、需求等,然后制定渗透测试方案: 确定范围:测试目标ip、域名、内外网、测试账户、子网、旁站等。 确定规则:能渗透到什么程度,允许测试的时间段和周期、能否修
谈一谈渗透测试流程
02-24
本文根据作者的渗透测试经验,讲讲基本渗透测试流程,分享给大家。当拿到一个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些...
渗透测试流程.zip
04-06
在这个"渗透测试流程.zip"文件中,我们主要聚焦于渗透测试工程师面试中可能遇到的问题和相关知识点。以下是关于渗透测试流程的详细阐述: 1. **渗透测试预备阶段** - **需求分析**:理解客户的业务需求,确定测试...
Kali Linux渗透测试技术详解
02-19
书中选取了最核心和最基础的内容进行讲解,让读者能够掌握渗透测试流程,而不会被高难度的内容所淹没。本书涉及面广,从基本的知识介绍、安装及配置 Kailinux,到信息收集和漏洞扫描及利用,再到权限提升及各种...
小白入门黑客之渗透测试基本流程(全网最详,附工具)
瓦罗兰特顶级C位的博客
06-09 4019
渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。
渗透测试】最详细的介绍和流程方法(建议收藏)
2301_77472496的博客
06-08 3618
渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!
记一次四层内网攻防渗透测试大实验
2301_76786857的博客
08-09 700
先使用常见的 ICMP 协议查看目标,目标网站的IP为192.168.1.129ping 192.168.1.129 # 探测目标主机 然后直接对目标IP进行端口扫描:nmap -T4 -sC -sV -p 1-10000 192.168.1.129如上图,目标开启了22、80、81和6379端口。 对目标192.168.1.129进行目录爆破:python3 dirsearch.py -u "http://192.168.1.129" -e *拼接url:http://192.168.1.129/mana
渗透测试流程包括_渗透测试包含哪些内容
程序员阿飘 的博客
03-11 448
阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;4、持续性存在:一般我们对客户做渗透不需要,但真实的环境中,我们会做rookit、后门,添加管理账号。3、整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱的位置信息。1、确定范围:规划测试目标的范围,以至于不会出现越界的情况。1、精准打击:准备好上一步探测到的漏洞的exp,用来精准打击。1、整理渗透工具:整理渗透过程中用到的代码,poc、exp等。3、应用信息:各端口的应用,例如web应用、邮件应用等等。
渗透测试的一般流程(过程)
dzqxwzoe的博客
03-02 1812
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。rookit,后门,添加管理账号,驻扎手法等。
神仙级渗透测试入门教程(非常详细),从零基础入门到精通,从看这篇开始!
libaiup的博客
06-18 9986
渗透测试:指的是试图利用系统、网络、人力资源或实物资产中的弱点或漏洞,以对安全控制的有效性进行压力测试。
渗透测试基本流程
baimaozi008的博客
04-25 674
渗透测试(Penetration Testing)是一种安全评估方法,用于评估计算机系统、网络Web应用的安全性。渗透测试是一个重要的安全措施,它帮助组织了解自身的安全状况,预防潜在的攻击。在进行渗透测试时,必须确保所有活动都在授权的范围内进行,遵守法律和道德标准。通过这种方法,安全团队可以更好地理解并加固自己的防御体系,减少安全事件的发生。
渗透测试的8个步骤 展现一次完整的渗透测试过程及思路
xv7676的博客
05-15 2412
渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说 渗透测试流程渗透测试相关概念。渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。 入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。 一般渗透测试流程流程并非万能,只是一个工具。思考与流程并用,结合自己经验。2.1 明确目标确定范围:测试目标的范围,ip,域名,内外网。 确定规则:能渗透到什么程度,时间?能否修改上传?能
渗透测试 PTES 流程
07-27
这是一个基本的PTES渗透测试流程,具体的流程可能会根据不同的组织和项目而有所不同。 #### 引用[.reference_title] - *1* *2* [渗透测试流程篇](https://blog.csdn.net/qq_37113223/article/details/104768073)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值