渗透测试规范(不断更新)

已于 2023-09-07 15:36:44 修改
阅读量301 收藏 2
点赞数
分类专栏: web安全 文章标签: 安全 网络安全
于 2023-09-07 15:34:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccccai22/article/details/132739238
版权

渗透测试第一步:授权书!!!没有授权书不可动手。

接下来说的是得到授权书的前提下的一些规范,围绕4个字:点到为止!

会不断更新补充。

1、sql注入等注入型的漏洞,只证明确实能够读取数据即可,如读取当前数据库名或者表名。不能读取表内别的数据。对于update、delete、insert等操作慎用,能不用就不要用,最好是不要用。不允许使用自动化工具如sqlmap进行增、删、改等操作。

2、对于越权漏洞读取文件,点到为止,读取一两个数据,禁止批量遍历读取。如果账号可注册,测试都使用自己的账号进行增、删、改。不可影响正常用户。

3、在测试短信轰炸等类似漏洞,测试成功的数量不可超过50个。不允许使用正常用户的手机号进行测试。在进行用户名爆破时,应该调节相关的线程数量,视情况而定线程数。不可高强度爆破导致网站瘫痪。

4、存储xss漏洞,插入的语句不可影响正常用户的使用,千万不要弹窗!可以使用console.log语句,例如:<script>console.log(6553

最低0.47元/天 解锁文章
ccccai22
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
XXXX项目渗透测试工作流程规范
07-18
渗透测试还具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。简单来说渗透测试就是安全评估的一种方法
渗透测试流(规范)
Kangjie_oo的博客
10-20 845
渗透测试流程1.明确目标2.信息收集(另外详写)3.漏洞探测(另外详写)4.漏洞验证5.信息分析6.获取所需7.信息整理8.形成报告 1.明确目标 1.1 确定范围(渗透目标的范围,ip,域名,内外网) 1.2 确定规则(能渗透到什么程度,时间?能否修改上传?能否提权等) 1.3 确定需求(web应用的漏洞(新上线的程序)?业务逻辑漏洞(针对业务)?人员权限管理漏洞(针对人员,权限等)立体全方位,根据自己需求和能力来确定能不能做,能做多少) 2.信息收集(另外详写) 方式:主动扫描,开放搜索等 开放搜索:
入侵渗透测试流程规范
qq_35811830的博客
06-12 1753
入侵渗透测试流程规范: 1,渗透测试注意事项: 1,禁止恶意攻击 2,注意获取授权 3,注意记录过程 2,渗透测试术语: 1,POC:通常是验证程序是否存在漏洞的一段代码 2,漏洞利用(Exploit): exploit就是利用漏洞利用工具 3,0day: 0day是指系统商在知晓并发布相关补丁钱前就被掌握或者公开的漏洞 4,白盒测试:白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指...
渗透测试服务方应当遵守哪些技术规范和要求?
liuhyusb的博客
03-30 366
渗透测试服务方应当遵守哪些技术规范和要求?
0003 渗透测试标准
sinat_21533627的博客
04-05 2096
0003 渗透测试标准渗透测试标准(PTES:Penetration Testing Executjion Standard)是对渗透测试的重新定义,通过定义一次完整的渗透测试过程的标准,来实现一次真正意义上的渗透测试渗透测试的标准 High Level Organization of the Standard (高标准组织标准)的官方内容介绍如下:渗透测试标准官网The penetration...
PC端(cs客户端)渗透测试规范
03-19
PC端(cs客户端)渗透测试用例,涵盖PC端程序渗透测试规范渗透测试用例,针对PC端渗透测试用这个就够了
安全测试渗透测试区别
03-23
安全测试渗透测试区别.安全测试不同于渗透测试渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自...
微信小程序客户端渗透测试
03-14
我们将从客户端和服务器两个层面学习微信小程序渗透测试。 客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。 在服务端层面,主要是依据微信...
Kali Linux渗透测试技术详解
02-19
Kali Linux渗透测试技术详解本书由浅入深地介绍了Kali Linux的各种渗透测试技术。书中选取了最核心和最基础的内容进行讲解,让读者能够掌握渗透测试的流程,而不会被高难度的内容所淹没。本书涉及面广,从基本的知识...
2018-12-27 安全渗透测试流程规范说明
昨天今天下雨天的博客
12-27 751
概述.... 3 1.1 背景.... 3 安全渗透测试流程(黑盒)细则说明.... 4 2.1 部门角色协同配合职责说明.... 5 2.1.1 安全渗透测试人员.... 5 2.1.2 产品线测试负责人.... 5 2.1.3 产品线产品负责人.... 6 2.1.4 产品线研发负责人.... 6 2.2 其他角色职责解释说明.... 6 1. 概述 渗透测试的目的在于模拟恶...
PTES渗透测试执行标准(二合一)
07-24
渗透测试执行标准(PTES:PenetrationTesting Executjion Standard),PDF文件+xmind文件,
渗透测试流程图-PTES渗透测试执行标准
09-07
渗透测试流程图-PTES渗透测试执行标准,涉及渗透测试全流程,从前期准备交互阶段到情报收集、漏洞分析、渗透攻击到后渗透测试及报告。
渗透测试授权书》.doc
12-09
授权书模板
渗透测试流程、标准及相关法律法规汇总
daopuyun的博客
06-20 532
结束渗透攻击和后渗透攻击后,就到了最后一个环节,渗透测试报告的撰写环节。报告中需涵盖:目标关键情报信息、渗透测试出的漏洞详情、成功渗透的攻击过程、造成业务影响的攻击途径,并从安全维护方的角度告知被渗透组织或企业其在安全防御体系中存在的薄弱点及风险,并给予专业的修复和改善建议。当渗透攻击全部完毕后,就到了后渗透攻击环节,该环节需要根据被渗透方的安全防御特点、业务管理模式、资产保护流程等识别出被渗透方的核心设备及对被渗透方最有价值的信息及资产,最终规划出能够对客户组织造成最大化影响的攻击途径及方式。
网络安全渗透测试执行标准
王孙小蛮的自留地
09-25 5921
一件事情总有千万种解决方案,其中更优的哪一种就是标准,渗透测试也是一样,目前渗透测试流程标准有以下几种:1、安全测试方法学开源手册 由ISECOM安全与公共方法学研究所制定,安全测试方法学开源手册(OSSTMM)提供物理安全,人类心理学,数据网络,无线通信媒介和电讯通信这五类渠道非常细致的测试用例,同时给出评估安全测试结果的指标标准。 OSSTMM的特色在于非常注重技术的细节,这使其成为一个具有
渗透测试流程详细讲解
weixin_59191169的博客
12-08 995
渗透测试流程详细讲解
网络安全知识之渗透测试介绍
fly_enum的博客
06-08 2102
渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!
渗透测试标准流程
Gjqhs的博客
01-12 417
概念: 必要性 : 原则: vs ATP: 方法分类: 目标分类: 位置分类: 针对 Web 服务体系架构: 渗透测试标准: 渗透测试流程: 一: 二: 三: 四: 五: 六: 七: 素材均来源于网络,侵删 ...
渗透测试标准
发哥微课堂
09-16 4066
平时工作中的内容,主要是针对 web、app、小程序、公众号这些进行的渗透测试,严格来说,只属于渗透测试中的一个阶段,并不是整个的渗透测试内容,所以不能觉得自己可以找一些常规 top10 问题就很厉害,可以在网站 alert 一个 1 就沾沾自喜,sqlmap 报一个 payload 就觉得测试很成功,保持虚心去学习才是最重要的,整个流程不去踩几年的坑是没有发言权的,路漫漫其修远兮,吾将上下而求索...
Python渗透测试
最新发布
05-28
Python是一种常用的编程语言,因其易学易用且强大的功能而广泛应用于各个领域,包括渗透测试。Python在渗透测试中具有以下几个优点: 1. 语法简单易学:Python的语法简单易懂,可以快速掌握基本编程概念和技巧。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值