渗透测试分类——翻译

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量38 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全
原文链接:https://blog.csdn.net/weixin_58373549/article/details/122223163?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169277287716800222873550%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169277287716800222873550&
版权

渗透测试的分类

1,根据渗透测试方法分类:

(1)黑盒测试:将测试对象看成一个黑盒子,完全不考虑测试对象的内部结构和内部特性。

(2)白盒测试:将测试对象看成一个打开的盒子,测试人员依据测试对象内部逻辑结构相关信息,设计或选择测试用例。

(3)灰盒测试:介于白盒和黑盒之间,是基于测试对象内部细节有限认知的软件测试方法。

2,根据渗透测试目标分类:

(1)主机操作系统测试:对Windows,Solaris,AIX,Linux,SCO,SGI等操作系统本身进行渗透测试。

(2)数据库系统渗透:对MS-SQL,Oracle,MySQL,informix,Sybase,DB2,access等数据库应用系统进行渗透测试。

(3)应用系统测试:对渗透目标提供的各种应用,如ASP,CGI,JSP,PHP等组成的WWW应用进行渗透测试。

(4)网络设备渗透:各种防火墙,入侵检测系统,路由器,交换机等网络设备进行渗透测试。

3.根据渗透测试的位置分类:

(1)内网渗透:模拟客户内部违规操作者的行为,在内网对目标进行渗透测试

(2)外网渗透:模拟对内部状态一无所知的攻击者的行为(包括对网络设备的远程攻击,口令管理安全测试,防火墙规则试探和规避,web及其他开放应用服务的安全测试等),从外网对目标进行渗透测试。

4,针对Web服务体系架构的渗透测试
(1)服务器渗透测试:对服务器自身的安全性(如操作系统、数据库是否存在弱口令等)进行检测。
 (2)中间件渗透测试:对Apache. lI、Tomcat. Nginx等Web中间件的漏洞(如配置缺陷、文件解析、反序列化漏洞等)进行检测。
(3)Web应用渗透测试:对CMS、Blog等Web应用程序的漏洞(如SQL注入、XSS、CSRF、文件上传与解析、文件包含、命令执行等)进行检测。
(4)业务逻辑渗透测试:对业务逻辑安全性(如验证逻辑问题、会话管理问题、权限控制问题等)进行检测。
 

垄断的5心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试入门——渗透测试笔记
01-27
CMS同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。根据提示,第1题要求找到咨询平台的管理员账号密码;第2题需要登录服务器后台,并插入木马,再用中国菜刀连接,继而找到在管理员桌面上的 flag文件;第3题...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 8646
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
【网络安全渗透测试工具——Burp Suite
九芒星的博客
07-13 7772
文章较长,看之前建议先了解以下四个问题问题一、Burp Suite是什么?Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加快捷高效问题二、Burp Suite具象化功能体现在哪?(部分示例)1.攻击网站,获取用户登录名和密码2.攻击网站,获取密码和token在获取CSRF token的情况下攻击网站,拿到正确的用户名和登录密码。
1.渗透测试学习——介绍
Daylight
07-27 204
渗透测试介绍 安全问题的根源 分层思想的优劣 网络、软件开发分层好处是把大的复杂的问题简化,层与层之间制定标准接口,通过接口完成信息的交换,最后整个系统可以正常工作。 只追求功能实现 最大的安全威胁是人 由于分层思想使得绝大多数的计算机从业人员被分到大的系统的某一个层面中,久而久之就会把目光局限在自己所在的层面上,无法更全面的看待问题。同时很多人为了提高工作效率只追求功能实现,由于安全问题最终根源是人,每个人都会犯错。 安全目标 先于攻击者和防止漏洞出现 攻击型安全 防护型安全 一些方法来降低
渗透测试专业术语——防守篇
m0_62614507的博客
03-06 819
渗透测试专业术语——防守篇
Android 渗透测试 frida——Brida 插件加解密实战演示1
08-03
1、Brida.jar 为 Burpsuite 插件 2、bridaServicePyro 是于 Frida 适配到 burpsuite 上的 python 脚
渗透测试笔记——收集于网络
08-05
渗透测试笔记.pdf
渗透测试系列——信息收集-附件资源
03-02
渗透测试系列——信息收集-附件资源
全视通智慧手术室对讲方案,让手术更安全更高效
2301_78035670的博客
04-24 450
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 820
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 329
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 266
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
什么是XXE攻击?如何进行防护
HoewDec的博客
04-19 1366
SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能,在用户可控的情况下,未对目标地址进行过滤与限制,导致此漏洞的产生。SSRF在攻击中扮演了中间者的角色,有时候直接攻击无法成效,通过SSRF可以利用其他主机的漏洞,攻击目标。安全性很难做到正确,即使在当今具有安全意识的世界中,也存在一些严重的漏洞,例如 XML 外部实体 (XXE),它们被忽视并最终成为破坏的原因。攻击者通常在XML文档中嵌入恶意的外部实体引用,当XML解析器处理这些文档时,会触发对外部资源的访问,进而执行攻击者指定的恶意操作。
4.3 海思SS928开发 - uboot开发 - 非安全启动镜像制作
luohaha66的博客
04-23 241
上电,启动GSL,启动uboot,引导内核启动。
无需公网IP,安全稳定实现U8C异地访问
asdaddsd的博客
04-21 276
快解析内网穿透实现在任何地域、任何时间、任何网络环境,快速访问内网的各种应用。为了进一步保证企业访问的安全性,快解析域名不仅支持https协议、免开端口,同时在无忧版、钻石版、旗舰版、星耀版增加了访问白名单、访问密码功能,让企业数据更安全。快解析内网穿透经常运用在远程办公OA、数据库、搭建web网站、ERP、访问NAS、信息管理、文件共享FTP、软件跨网互通等各种场景。在财务、人力、供应链、采购、制造、营销、研发、项目、资产、协同等领域为客户提供数字化、智能化、社会化的企业云服务产品与解决方案。
Windows 安全中心:页面不可用 你的 IT 管理员已限制对此应用的某些区域的访问,并且你尝试访问的项目不可用。有关详细信息,请与 IT 支持人员联系。
u013669912的博客
04-22 565
Windows 安全中心提示:【页面不可用 你的 IT 管理员已限制对此应用的某些区域的访问,并且你尝试访问的项目不可用。有关详细信息,请与 IT 支持人员联系。】 Windows 11 重置后,无法打开 windows 安全中心,或打开安全中心背景是白色
速卖通自养号测评:如何规避安全风险?
2301_79301920的博客
04-24 351
目前,我们的自养号成功率已经能够达到九成以上,每个账号都实现了独立IP、独立环境、独立防火墙的配置,避免了砍单、封号等风险,同时确保了账号之间无任何关联。当前市场上,真人测评账号质量参差不齐,找到合适的买家进行测评并不容易,而且恶意差评的问题也时有发生,因此不建议作为主要测评手段。然而,值得注意的是,测评并非一蹴而就的短期行为,而是一个需要精心策划、持续进行的过程。由于速卖通新店铺往往难以获得平台活动的支持,流量也相对匮乏,因此,开店的首要任务便是进行测评,通过积累一定的评论和销售数据。
基础安全:CSRF攻击原理与防范
八尺妖剑的博客
04-23 1291
这是一种常见的网络攻击手段,攻击者通过构造恶意请求,诱骗已登录的合法用户在不知情的情况下执行非本意的操作。这种攻击方式利用了Web应用程序中用户身份验证的漏洞,即浏览器在用户完成登录后会自动携带相关的认证信息(如Cookie、Authorization header等)发送给服务器,使得服务器误以为请求来自已授权的用户。这是一个阳光明媚的好日子,万里无云,心情愉悦,用户哼着小曲儿兴高采烈的通过下面的请求地址登录了自己的账户并给小老婆转账520000,成功登录后在浏览器上留下了。基于上面的概念描述,
渗透测试的流程、分类、标准
07-07
渗透测试是评估系统、应用程序或网络的安全性的过程,它通过模拟攻击者的行为来发现漏洞和弱点。下面是渗透测试的基本流程、分类和一些相关的标准: 1. 渗透测试流程: - 信息收集:收集目标系统或网络的相关信息,包括目标IP地址、域名、子域名、网络拓扑结构等。 - 漏洞扫描:使用自动化工具扫描目标系统,发现可能存在的漏洞和弱点。 - 漏洞利用:利用发现的漏洞,尝试入侵目标系统,获取未授权访问或提升权限。 - 权限维持:在目标系统中保持访问权限,以便进行后续的探测和攻击。 - 数据收集:收集系统和应用程序的敏感信息,如用户凭证、数据库内容等。 - 报告编写:整理渗透测试的结果和发现,撰写详细的报告,包括漏洞描述、风险评估和建议修复措施。 2. 渗透测试分类: - 黑盒测试:测试人员对目标系统几乎没有任何信息,模拟外部攻击者的行为进行测试。 - 白盒测试:测试人员对目标系统有详细的信息,包括源代码、网络拓扑等,模拟内部攻击者的行为进行测试。 - 灰盒测试:介于黑盒测试和白盒测试之间,测试人员对目标系统有一些信息,但不完全了解全部细节。 3. 相关标准: - OWASP 渗透测试指南:由OWASP(开放式网络应用安全项目)提供的指南,用于帮助渗透测试人员进行细致而有效的渗透测试。 - PTES(渗透测试执行标准):一个综合性的渗透测试框架和标准,提供了详细的流程和方法,用于规范渗透测试的执行过程。 - NIST SP 800-115:由美国国家标准与技术研究院(NIST)发布的《信息系统安全渗透测试指南》,提供了渗透测试的基本原则、活动和任务。 这些流程、分类和标准是渗透测试的基础,可以根据具体情况和需求进行调整和深入研究。渗透测试需要具备丰富的技术知识和经验,并且在合法授权和法律框架下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值