目录
前言
WEB安全渗透测试不是随便拿个工具扫一下就可以做的, 要了解业务还需要给出解决方案。
渗透测试与入侵的最大区别
渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。
入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。
常规渗透测试流程
明确目标>信息收集>漏洞探测>漏洞验证>信息分析>获取所需>信息整理>形成报告
一、明确目标
确定范围:测试目标的范围,ip,域名,内外网。
确定规则:能渗透到什么程度,时间?能否修改上传?能否提权等。
确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?等等。(立体全方位)