初识渗透理念01

最新推荐文章于 2024-06-09 09:33:07 发布
最新推荐文章于 2024-06-09 09:33:07 发布
阅读量204 收藏
点赞数
分类专栏: 个人学习笔记 文章标签: 渗透 个人学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41913915/article/details/83997938
版权

谢谢我的老师杰哥

  1. 渗透测试的类别

    (1)黑盒测试

    在进行黑盒测试时,安全审计员在不清楚被测单位的内部技术构造的情况下,从外部评估网络基础设施的安全性。
模拟黑客攻击的过程。

    (2)白盒测试

    白盒测试的审计员可以获取被测单位的各种内部资料甚至不公开资料。
源代码审计

  2. 脆弱性评估

    脆弱性评估通过分析企业资产面临安全威胁的情况和程度,评估内部和外部的的安全控制的安全性。

    	做漏洞(安全弱点)扫描
	漏洞发现

  3. 安全测试方法论

    (1)开源安全测试方法论

    http://www.isecom.org/research/osstmm.html

    (2)ISSAF

    http://www.oissg.org/issaf

    (3)OWASP

    TOP10

    (4)WASC-TC

    (5)通用缺陷列表

     CWE

    (6)关于漏洞的类别分类

    SQLi
XSS
http://cwe.mitre.org/data/definitions/79.html
http://cwe.mitre.org/data/definitions/89.html
http://cwe.mitre.org/data/downloads.html

    (7)通用漏洞与披露

    CVE
某一个具体漏洞的编号
http://cve.scap.org.cn/
http://cve.mitre.org/

组件名字
影响版本
漏洞效果

  4. PTES 标准七个阶段
    手册包含两方面内容

    @	理论
@	技术

  5. 通用渗透测试框架

  • 范围界定

     目标环境的被测范围
 
 例如:
 	baidu.com
 		子域名
 		tieba.baidu.com
 		news.baidu.com
 		
 		news.baidu.com
 		
 		baidu.com		被测范围之外,非法,非授权的
 		
 		@	测试对象是什么?
 		@	应当采取何种测试方法?
 		@	有哪些在测试过程中需要满足的条件?
 		@	哪些因素可能会限制测试执行的过程?
 		@	需要多久才能完成测试
 		@	此次测试应当达成什么样的任务目标

  • 信息搜集

     尽可能收集关于目标的信息
 	DNS 服务器
 	路由关系
 	whois 数据库
 	电子邮件地址
 		admin@simple.com.cn
 	电话号码
 	个人信息
 		stj0101
 		feicui
 	用户账户

  • 目标识别

     网络拓扑关系和在线主机
 联网设备和ID(IP 地址)

  • 服务枚举

     在线主机开启端口,并且识别端口上运行的服务

  • 漏洞映射

     漏洞扫描、漏扫
 	已知的漏洞
 	未知的漏洞

  • 社会工程学

     安全策略、安全配置、安全行为都是人在做

  • 漏洞利用

  • 权限提升

     提权(获得角色以外的权限)
 普通用户提升至管理员用户,系统用户
 AJEST	guest	administrator

  • 访问维护

     权限维持
 埋藏后门

  • 文档报告

     提交物,因人性化的方式。
wwbpa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小学生计算机德育渗透总结,小学信息技术课堂的德育渗透
weixin_35133464的博客
07-26 536
王茜一名信息技术教师,不仅要传授小学生信息技术操作能力,还应当积极探索与充分发挥本学科的优势,关注学生的心理健康状态,适时创设主题情境,渗透德育教育,培养学生电脑使用道德和良好的信息素养。一、培养学生良好的信息技术操作习惯,养成爱机护机的良好品德信息技术课堂要求学生做到遵守信息技术课堂的规矩,可以给学生3次机会,增强其责任心。俗话说:勿以善小而不为即使是小事情也要重视起来,小中见大,学生要从小做起...
linux01-初识
08-10
初识Linux】 Linux是一种免费使用且开源的操作系统内核,它是GNU/Linux操作系统的基础,广泛应用于服务器、桌面环境以及各种嵌入式设备中。Linux以其稳定性、安全性、灵活性和跨平台性著称,是软件开发领域的重要...
网站安全公司对渗透测试行业的运营观点
网站安全专家
05-15 1242
价值观念:潜心共享信息内容安全技术性和工作经验、坚持不懈原创、不借势营销,一个机构的价值观念决策了这一机构的特性,决策大家干什么和不干什么,管束我们在发展趋势的全过程中不偏移前进方向,是大家不可或缺的根本。一路走来,尽管沒有一开始就制订出确立的价值观念,可是大家一直在秉持着那样的价值观念前行,大家所共享的全部內容全是与信息内容安全有关的技术性和成才工作经验,前边将会存有缺陷,可是优效性一定严苛依照大家的价值观念前行,潜心共享信息内容安全有关的技术性和工作经验,协助全部信息内容安全有关从业人员,让大伙儿在信安
记录自己的渗透学习——02
qq_38117786的博客
08-03 256
本地提权方法1:Administrator提成System 0x01.利用at命令提权(适用:winxp或者以下 利用at命令先将xp预定在之后的某个时间执行打开cmd的指令 由于at命令是强行调用system权限,所以利用at命令打开的cmd和利用这个cmd打开的taskmgr都是system权限 这样我们就能用system权限的shell来做操作了,但是这还不够,我们可以发现e...
Java初识
Didhogg的博客
11-17 644
关于Java的历史,Java特点,JDK的安装,环境变量的配置,第一个Java程序的编写
Spring 初识
qq_44066201的博客
08-23 140
Spring体系结构 Spring 的“绿草丛” Spring是一个轻量级框架,它大大简化了Java 企业级开发,提供了强大、稳定的功能,又没有带来额外的负担,让人们在使用它做每件事情的时候都有得体和优雅的感觉。Spring 有两个主要目标:一是让现有技术更易于使用, 二是促进良好的编程习惯(或者称为最佳实践)。 Spring是一个全面的解决方案,但它坚持一个原则: 不重新发明轮子。已经有较好解...
探索Mystikal:macOS初识攻击负载生成器
gitblog_00052的博客
06-09 374
探索Mystikal:macOS初识攻击负载生成器 项目地址:https://gitcode.com/D00MFist/Mystikal 1、项目介绍 Mystikal是一款专为macOS设计的初始访问payload生成工具,它与Mythic协同工作,为安全研究人员和渗透测试者提供了丰富多样的隐蔽式攻击手段。Mystikal通过生成各种伪装的payload,帮助您在不引起怀疑的情况下执行恶意操作。...
spring之初识Ioc&Aop
weixin_34321977的博客
09-26 62
Spring框架的作用 spring是一个轻量级的企业级框架,提供了ioc容器、Aop实现、dao/orm支持、web集成等功能,目标是使现有的java EE技术更易用,并促进良好的编程习惯。 Spring框架主要用于与其他技术(struts,hibernate等)进行整合,可将应用程序中的Bean组件实现低耦合关联.最终可以提高系统扩展和维护性. 将来我们利用Spring...
Marco's Java【Zookeeper入门(一) 之 初识 "动物园管理员"】
馬克兒的私人博客
08-31 261
前言 随着互联网技术的发展,企业对计算机系统的计算,存储能力要求越来越高,各大IT企业都在追求高并发,海量存储的极致,在这样的背景下,单纯依靠少量高性能单机来完成计算机,云计算的任务已经无法满足需求了,企业的IT架构逐渐由集中式往分布式过渡。 其实到目前为止,大家应该对分布式不陌生了吧,从Nginx到Docker再到Redis,无不渗透着分布式的理念,简单来说分布式就是将一个计算任务分解成若干,并...
渗透测试 ( 4 ) --- Meterpreter 命令详解
freeking101的博客
07-02 8440
Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell 的链接。Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开 shell、得到用户密码、上传下载远程主机的文件、运行 cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络.
01课时-初识数据结构.pptx
12-06
01课时-初识数据结构 数据结构是计算机程序设计的基础,涉及数据抽象、建模、算法设计、编写程序等多个方面。数据结构的概念是指数据元素之间的相互关系,即数据的组织形式。它包括了三个方面的内容:数据元素...
01初识Nginx.pdf
01-06
【Nginx初识与版本管理】 Nginx是一款高性能的HTTP和反向代理服务器,以其高并发处理能力、稳定性及可扩展性受到广大用户的青睐。在IT领域中,Nginx常被用于处理静态资源请求,反向代理以及负载均衡等任务。本文将...
初识C语言
11-11
对初学者来说可以先整体的了解一下C语言的知识点仅限了解有了大体印象你是不是学习就更有信心了
初识计算机初识计算机初识计算机
10-28
初识计算机初识计算机初识计算机
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
使用 JavaScript 编写的专注力游戏(附源代码).zip
07-24
项目:JavaScript 中的专注力游戏(附源代码) 专注力游戏是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这款游戏很有趣。玩家必须点击移动的框并获得分数。要点击正确的位置,玩家需要在这个游戏中集中注意力。这款游戏可以帮助玩家练习以进一步增强他们的专注力。 游戏制作 这个游戏项目仅使用 HTML、CSS 和 JavaScript。说到这个游戏的特点,用户必须单击移动框并得分。游戏有三种模式:简单、中等和困难。游戏的 PC 控制非常简单。您只需使用光标单击移动框的碎片即可。 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要玩游戏,首先,单击 index.html 文件在浏览器中打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
人脸识别方案资料61EDA-C1590.zip
07-24
人脸识别方案资料61EDA_C1590.zip
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明)
07-24
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明) 该设计为DK124控制的开关电源,实现12V 2A输出; 功能: 1、使用DK124核心控制; 2、反激式开关电源拓扑设计; 3、实现12V 2A输出; 4、市电输入; 5、整流、滤波、变压器等电路; 6、原理图、PCB图、BOM表、设计说明;
初识Python:从IDLE到简单编程
"初识Python公开课" 本课程主要涵盖了Python程序设计的基础知识,旨在帮助初学者了解并掌握Python语言。课程内容主要包括以下几个方面: 1. Python语言简介:Python是一种多用途的编程语言,支持跨平台,适用于Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值