渗透测试流程(拿到一个了网站,应该怎么做)

已于 2022-03-07 15:21:20 修改
阅读量6.5k 收藏 32
点赞数 8
分类专栏: 笔记 文章标签: 安全 web安全 网络
于 2022-02-08 21:32:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45097365/article/details/122831464
版权

渗透测试流程
拿到一个待测网站,你感觉应该怎么做?

第一步:信息收集

前端语言、后端语言、中间件、服务器、版本号、开放的端口,真实IP,子目录爬取,注册人信息whois查询,旁站扫描,网站指纹获取(CMS)

1.服务器域名的whois信息,包括注册者的邮箱、姓名、电话等
2.服务器操作系统的版本、中间件、数据库类型等,是否存在已知漏洞,常见的中间件、操作系统、有。。。
3.探测真实IP、开放的端口、网站的指纹、前后端使用的语言等
4.旁站扫描、子目录爬取
5.google hack 进一步收集网站信息,后台,敏感文件等。

第二步:漏洞扫描

根据第一步收集的信息,测试是否出现漏洞,确定注入点,
有漏洞的服务和开放的可爆破端口,查看网页上有没有SQL
注入或者XSS注入点配合burp进行测试。

漏洞扫描工具

AWVS
Xary
ALLIN
AppSan
Nessus
Goby

第三步漏洞利用

根据前的测试出的漏洞,尝试获取webshell,上传小马/大马。尝试提权,扫描内网主机是否有漏洞

第四步:日志清理

第五步:总结报告及修复方案

内容待完善。。。
完善01

操作系统

 1. Windows
 2. Linux

语言

 1. asp/aspx
 2. php
 3. python
 4. javascript
 5. java
 6. ...

中间件

 1. IIS
 2. Apache
 3. Nginx
 4. Tomcat
 5. Weblogic
 6. Jboos
 7. ...

数据库类型

 1. Mysql
 2. Mssql
 3. Oracle
 4. Access,Redis,Mssql,db2,MongoDB
 5. 第三方软件
 6. phpmyadmin,VNC,ELK,Openssh
 7. ...
呱呱奇谈
关注
  • 8
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谈一谈渗透测试流程
02-24
拿到一个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些,哪些社工手段我们不能使用等等真实ip查询当然,如果连真实ip都没有...
渗透测试第一步-信息收集(个人总结)
2302_76378481的博客
07-02 218
简单的渗透测试流程分为几个步骤:信息收集—查找漏洞—漏洞利用,拿到webshell—提权。一般到提升root权限就可以了,真正的渗透还有清楚痕迹等就不多说了。我们今天说一下信息收集的内容。如果想要对一个网站进行渗透测试,我们第一步就是需要先对这个网站进行信息收集,找到它的一些基本信息。为什么要信息收集呢,就比如生活中你是一个特工,给你的任务是渗透到对方老大的身边。为了更好地完成任务,你就需要掌握这个老大的所有信息,就需要了解他的家庭、工作、成长经历、甚至买的内裤的颜色。。。
渗透测试面经3
qian_yu_的博客
09-20 673
1.拿到一个待检测的站,你觉得应该什么? 收集信息 whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说... 2.mysql的网站注入,5.0以上和5.0以下有什么区别? 5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。 5.0以下是多用户单操作,5.0以上是多用户多操。 3.在渗透...
保姆级渗透测试入门教程(非常详细),从零基础入门到精通,从看这篇开始!
最新发布
xx16755498986的博客
06-05 876
渗透测试:指的是试图利用系统、网络、人力资源或实物资产中的弱点或漏洞,以对安全控制的有效性进行压力测试
不知道如何测试?全网最全网络安全渗透测试流程给你答案!
2201_75735270的博客
10-16 1932
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
小白入门黑客之渗透测试基本流程(全网最详,附工具)
ytt0523_com的博客
03-09 1109
小白入门黑客之渗透测试基本流程(全网最详,附工具)
渗透测试流程实操!你一定要掌握!
ytt0523_com的博客
04-03 778
进行web渗透测试之前,务必获得测试目标拥有者或组织的书面授权,明确渗透测试的范围。
史上最全的渗透测试面试题,都是干货。
m0_48368237的博客
01-30 7713
1、拿到一个待检测的站或给你一个网站,你觉得应该什么? 一、信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等。 2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3、通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。 4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统
渗透一个网站的基本步骤
weixin_64809022的博客
02-05 3081
渗透测试
【网络安全干货分享】渗透测试的完整流程
2201_75362610的博客
02-27 918
相信大家对网络安全中的渗透测试都或多或少听说过吧,渗透测试对于网络安全来说是十分重要的,简单来说,就是对网站和服务器进行安全检测,专业人员通过模拟不法分子的手段,来检测我们的网站及服务器是否存在漏洞,那具体流程是怎样的呢?请看下文:第一步:明确目标1. 确定范围:也就是测试的范围,如:IP、域名、内外网、整个网站还是部分模块;2. 确定规则:渗透到的程序,比如是发现漏洞为止,还是继续利用漏洞、时间限制、能否修改上传,能否提权。第二步:分析风险,获得授权。
有手就行:零基础渗透网站步骤
热门推荐
jklbnm12的博客
07-03 2万+
前言:渗透技巧小总结,希望大家喜欢! 渗透技巧 1.拿到一个网站后,先进行扫描,对网站全局进行爬行。 2.某些cms的网站设置过滤不严,直接在网站后面加上admin/session.asp 或 admin/left.asp 可直接进入后台 3.入侵网站之前连接下3389,可以连接上的话先尝试弱口令,不行就按5次shift键,看看有没有shift后门 4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里,选择浏览器-拦截跳转勾选–查看即可直接进入后台。 5.:jav.
如何正确的进行网站入侵渗透测试
weixin_55154866的博客
06-07 1179
大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且够独立地检查你的网络策略,一起来看看网站入侵渗透测试的正确知识吧。一 、信息收集要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等二、收集目标站注册人邮箱1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。2.用邮箱关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。
渗透测试流程(PTES)思维导图
08-02
该思维导图主要针对信息安全从业者撰写的渗透流程总结而来,其中的部分专业术语的翻译可能存在偏差,希望能够及时指导。部分安全策略及攻击方法都有相对应的解释,如还有部分专业术语需要本人解释的话,请私聊我。该...
渗透测试流程图.zip
04-06
5. **权限提升**:一旦取得初步的访问权限,测试者会尝试进一步扩大控制范围,例如从普通用户权限升级到管理员权限,或者从一个系统跳转到另一个系统。 6. **数据窃取与破坏**:模拟攻击者可能的行为,测试者可能会...
网络安全:渗透测试流程.xmind
11-27
网络安全渗透测试流程思维导图,包括: 1.明确目标 2.信息收集的方式 3.漏洞扫描的方式 4.漏洞验证的方式 5.信息整理 6.形成报告 核心点集中在信息收集,漏洞扫描,漏洞验证这三个方面,是一个很好的参考流程,...
如何对一个网页进行渗透测试
huachengyi的博客
11-23 514
以下是具体的操作方法: 首先,可以通过Nmap工具进行端口扫描和操作系统探测,了解网站的基础信息和配置情况。如果获得了足够的权限,还可以进行后门探测,例如查找文件、目录和进程等异常信息,同时也可以使用一些社会工程学技巧来获取更多的敏感信息。需要注意的是,渗透测试必须在法律许可的范围内进行,且要严格遵守相关的法律法规,避免造成不必要的损害。渗透测试是一种评估网站安全性的技术手段,旨在模拟黑客的行为,找出网站存在的潜在漏洞,以便及时修复并提高安全性。
网站渗透思路总结
bluemoon_0的博客
03-16 1414
网站渗透思路总结
渗透测试 一个网站如何去渗透测试
05-30
渗透测试是一种测试方法,通过模拟攻击者的行为来评估系统的安全性。以下是一些渗透测试的步骤: 1.信息收集:这个阶段可以通过搜索引擎、社交网络、WHOIS查询等方式来获取目标网站的相关信息,如IP地址、域名注册者、网站架构等。 2.漏洞扫描:使用扫描工具对目标网站进行扫描,以查找潜在的漏洞,如SQL注入、跨站点脚本攻击等。 3.漏洞利用:对于发现的漏洞,进行深入测试,以确定是否可以利用该漏洞实施攻击。 4.权限提升:如果攻击成功,尝试提升自己的权限,以便更深入地访问目标系统。 5.数据收集:收集目标系统的敏感信息,如用户凭证、数据库记录等。 6.报告编写:编写详细的报告,记录测试中发现的漏洞和建议的改进措施。 需要注意的是,在进行渗透测试时,需要获得目标网站的合法授权,并确保在测试过程中不会影响其正常业务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值