本文介绍了渗透测试的流程,从熟悉相关法律法规开始,包括确定渗透目标、信息收集、漏洞探测、漏洞利用、内网渗透、建议修复方法以及清除痕迹。强调在合法授权下进行,并提醒仅进行到第三步可在SRC平台上提交漏洞。
首先学渗透成为网安的第一步是熟读《中华人民共和国网络安全法》和《中华人民共和国刑法》的相关法律法规。
什么是渗透测试,渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的行为,是一种授权的行为。是对用户信息安全措施积极检测的过程,是对系统所有弱点,技术缺陷,漏洞检测的分析过程。那么渗透测试流程包含什么?以下是详细的内容介绍。
第一步:确定要渗透的目标,授予权限进行测试的站点。
第二步:收集目标网站的相关信息,比如:网站中间件及版本,操作系统及版本,数据库及版本,开放的端口服务,所使用的脚本语言,子域名,C段、旁站以及CMS系统等等。
第三步:漏洞探测(发现漏洞)。利用收集到的信息,寻找目标的弱点。(思路:如果目标网站使用的是某个CMS系统,那么就可以在百度里搜索对应CMS或者目标网站其他资产,后面加上漏洞复现的字眼来搜索对应CMS存在的历史漏洞,然后回到目标网站,看看目标网站存不存在这些漏洞)。
第四步:漏洞利用,找到对方系统的弱点后,就拿目标系统的最高权限(windows系统的最高权限是system,linux系统的最高权限是root)。
第五步:渗
最低0.47元/天 解锁文章
727
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
