信息收集简介
信息收集
在进行渗透测试之前,最重要的一步是信息收集在这个阶段,我们需要尽可能地去收集目标组织的信息。所谓“知己知彼,百战不殆”,我们越是了解测试目标,渗透测试工作便会更加的容易。
资产收集
资产市值由企业过去的交易或事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源,而渗透测试中的资产指的则是网站的架构、IP、设备型号(如果有的话)、网络拓扑(多用于内网)等等。
为什么要资产收集
1.在实际渗透测试的过程中,我们需要对企业的资产进行梳理,但是往往在渗透测试过程中,客户通常会给我们一个域名,此时资产收集就显得尤为重要了。
2随着企业内部业务的不断壮大,各种业务平台和管理系统越来越多,很多单位往往存在着“隐形资产”,这些“隐形资产”通常被管理员所遗忘,长时间无人维护,导致存在比较多的已知漏洞。
资产收集的重要性
1.在渗透测试中,我们需要尽可能的去收集目标的信息。资产探测和信息收集,决定了你发现安全漏洞的几率有多大。如何最大化的去收集目标范围,尽可能的手机就子域名及相关域名的信息,这对我们进一步的渗透测试很重要。
2.所谓资产收集就是从域名出发,尽可能区去收集关于该域名的一切细心,如子域名、相关域名(旁站、c端)、移动端、行业系统…
**01-子域名收集: