最近在学习kali,所以开个系列来记录下吧
0x01 写在前面
要养成从根源解决问题的习惯
安全问题的根源
- 分层思想的优劣(化整为零,把大化小,逐一实现)
- 只追求功能的实现(久而久之,眼光局限,没办法看全局,看整体——安全)
- 最大的安全威胁是人(人是最不稳定的因素)
安全目标
- 先于攻击者发现和防止漏洞出现(攻击型安全——使用攻击的手段去探测系统,以黑客的思维方式,黑客的思维手段,防护型安全)
- 渗透测试(尝试挫败安全防御机制,发现系统安全弱点;从攻击者的角度思考,测量安全防护有效性;证明安全问题的存在,而非破坏;道德约束;法律约束)——能力越大,责任越大
渗透测试标准
- PETS(传送门)
- 前期交互阶段(做收集和判断,确定攻击方式,通常很少包含社会工程学和DDOS两种)
- 情报收集阶段(对目标系统进行各种收集,邮箱地址联系人DNS、IP,被动式收集 ; 主动收集——对目标系统进行主动探测,扫描、端口发现、等等)
- 威胁建模阶段
- 漏洞分析阶段(分析版本等是否有漏洞、编写漏洞利用代码等等)