PTES:前期交互阶段:与目标设备的管理人员进行讨论,确定测试的范围和目标。
PTES:情报收集阶段:使用各种可能的方法来收集目标设备的信息,包括目标设备的操作系统、开放的端口等等。
PTES:威胁建模阶段:归纳整理在情报搜集阶段所获取到的信息,来标识出目标系统上可能存在的安全漏洞与弱点。在进行威胁建模时,确定最为高效的攻击方法、所需要进一步获取到的信息,以及从哪里攻破目标系统。
PTES:漏洞分析阶段:在漏洞分析阶段,综合从前面的几个环节中获取到信息,并从中分析和理解哪些攻击途径可行。特别是需要重点分析端口和漏洞扫描结果,获取到服务,以及在情报搜集环节中得到的其他关键信息。
PTES:渗透攻击阶段:对扫描结果进行漏洞验证,最好是在基本能够确信特定渗透攻击会成功的时候,才真正对目标系统实施这次渗透攻击.根据分析还有收集到的信息进一步找到漏洞,扩大攻击范围。
PTES:后渗透攻击阶段:容易被忽略。后渗透攻击阶段从已经攻陷了一些系统之后开始。后渗透攻击阶段将以特定的业务系统作为目标,识别出关键的基础设施,并寻找系统最具价值和尝试进行安全保护的信息和资产,当从一个系统攻入另一个系统时,需要演示出能够对系统造成最重要业务影响的攻击途径。
PTES:渗透测试报告阶段: 报告是渗透测试过程中最为重要的因素,使用报告文档来对测试过程进行记录,主要是从中发掘的漏洞,以便系统开发者及时修复所发现的安全漏洞和弱点。要尽可能详细和完整。
871
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
