渗透测试的信息收集(未完)

笔记:

渗透测试又叫攻防对抗

1:什么时候做渗透测试?1、新业务上线之前2、安服项目的日常测试3、风险评估项目中的渗透测试4、红蓝对抗或护网5、企业内部自测6、重大事件前的渗透测试7、安全复测
2:渗透项目有哪些角色,最高负责人:项目经理1、项目经理2、渗透测试人员3、甲方技术人员(运维)4、甲方对接人员5、甲方高级管理6、销售人员
3:渗透测试最大的风险点时对业务稳定性的损害
4:渗透测试原则:维持项目稳定/不损害业务稳定
5:渗透测试标准流程:前期交互阶段(要先拿到客户的授权再测试,沟通项目到什么为止,敲定项目人员),情报收集阶段,威胁建模阶段,漏洞分析阶段,渗透攻击阶段,后渗透攻击阶段,报告阶段
6:信息收集:包括但不限于:端口、服务、版本,目标(主站、旁站、子域名、OA、邮件、主题信息),模板、前端框架、开发框架、中间件、相关组件、数据库、运维工具的类型和版本,研发团队、框架或模板源码、目录,相关组件的漏洞信息历史漏洞及事件,业务功能。还有
分布式代理:
网页信息:f12查看网络
请求行:
请求头:post,
user-agent(向网站发送浏览器和操作系统信息),
cookie(cookie,session)
,content-type

谷歌语法,fofa,shodan
谷歌语法
inurl
inurl:php?id
intitle:
intext:“转到父目录” (目录遍历漏洞)等等。
来一个实例:
在这里插入图片描述

在这里插入图片描述
站长之家搜索域名信息:
在这里插入图片描述
nslookup查看ip:

端口信息收集:
nmap:
-vv -ps -sv
在这里插入图片描述
御剑扫描后台:
在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值