了解常用的渗透测试工具,测试方法
黑盒测试:测试人员没有提供关于他将要测试的应用程序的许多信息 ,测试人员有责任收集有关目标网络,系统或应用程序的信息。 应对来自外部的攻击能力。
灰盒测试:测试人员将具有应用程序或系统的部分知识。因此,它可 以被认为是外部黑客的攻击,黑客已经非法访问组织的网络基础设施文档。 应对来自合作方或内部人员攻击的能力。
白盒测试:测试人员将获得有关网络,系统或应用程序的完整信息以 及源代码,操作系统详细信息和其他所需信息。它可以被认为是模拟内部来源。 应对内部专业人员攻击的能力。
(1 )确定范围
确定客户要求渗透测试的范围,如项目时间、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破坏数据,是否能够提升权限等。
主要是对测试项目有一个整体明确的了解,方便测试计划的制订。
(2)情报搜集
①主动收集:通过直接访问、扫描网站等方式收集想要的信息。
②被动收集:利用第三方服务对 目标进行了解,如上网搜索相关信息。
(3)扫描漏洞
综合分析收集到的信息,借助扫描工具对目标程序进行扫描,查找存在的安全漏洞。
(4)验证漏洞
搭建模拟测试环境对这些安全漏洞进行验证。被确认的安全漏洞才能被利用执行攻击。
(5)分析信息
经过验证的安全漏洞就可以被利用起来向目标程序发起攻击,但是不同的安全漏洞,攻击机制并不相同,针对不同的安全漏洞需要进一步分析,包括安全漏洞原理、可利用的工具、目标程序检测机制、攻击是否可以绕过防火墙等,制订一个详细精密的攻击计划,这样才能保证测试顺利执行。
(6)渗透攻击
渗透攻击就是对目标程序发起真正的攻击,达到测试目的,如获取用户账号密码、截取目标程序传输的数据、控制目标主机等。一般渗透测试是一次性测试,攻击完成之后要执行清理工作,删除系统日志、程序日志等,擦除进人系统的痕迹。
(7)整理信息
渗透攻击完成之后,整理攻击所获得的信息,为后面编写测试报告提供依据。
(8)编写测试报告
测试完成之后要编写测试报告,阐述项目安全测试目标、信息收集方式、漏洞扫描工具以及漏洞情况、攻击计划、实际攻击结果、测试过程中遇到的问题等。
信息收集:
域名:子域名、真实IP、CDN、注册信息(姓名、电话、邮箱、地址);
服务器:操作系统类型、端口服务;
网站架构:数据库类型、网站容器、开发语言;
网站敏感信息:cms指纹信息、WAF、旁站、C段、敏感目录、敏感信息、源码泄露、网站后台信息等;
社会工程学;
域名信息收集:查询可以获取网站注册人的信息,包括注册商、联系人、联系邮箱、联系电话、创建时间等。可以进行邮箱反查域名,联系电话反查,分析出此域名的注册人还注册过哪些域名,为而后的目标转移,社工钓鱼、邮箱爆破、域名劫持,寻找旁站做准备。
服务器信息收集:将首页或者其他页面通过修改大小写辨别网站所使用的系统: 区分大小写(页面报错)liunx不区分大小写(页面正常)--Windows 。通过工具扫描端口(nmap,masscan 等。)
网站架构:通过工具扫描查看web服务器版本,编程语言通过首页文件后缀或通过爬虫工具爬取网站目录判断网站脚本类型。
网站敏感信息:利用在线识别工具,御剑web指纹识别程序,旁站,fofa,zoomeye搜索引擎等探查。
社会工程学:天眼查,企查查,钓鱼等。
测试工具,信息收集:端口扫描:nmap,网络路径:tracert,ping等。漏洞检测:AWVS,APPSCAN,goby、nessus、天镜等,漏洞利用:Sqlmap,Burpsuite等。集成工具:kali linux、Metasploit、BackBox等。
掌握渗透测试方案,汇报会灯片的编写
编写应急预案重返考虑测试可能存在的危险,指定风险处置措施,避免或降低测试可能带来的损失,编写应急预案并与相关方确认,执行应急预案。
掌握渗透测试报告编写
国家法律法规
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六天 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
