渗透测试的几种模式

最新推荐文章于 2024-08-06 10:04:36 发布
最新推荐文章于 2024-08-06 10:04:36 发布
阅读量895 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全 web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43305605/article/details/122260340
版权

黑盒模式

对于被测系统内部细节一概不知。但是测试者会收集系统相关的信息,包括网络上已经公开的信息。包括但不限于比如网站应用介绍,暴露的公开API,市场上其客户或者用户的信息,以及一些员工在社交媒体上暴露的关于系统的信息。根据这些信息进行一些可能的渗透测试,比如一些员工或者客户可能在社交媒体或者BBS上贴出了系统存在的bug或者一些漏洞。测试者可以利用这些已知的问题或漏洞进行渗透。

灰盒模式

这种模式下,测试者只有有限的系统内部权限。灰盒测试的目的是为了测试系统是不是能很好地抵御这些渗透攻击。测试者目的是通过这些渗透攻击获取系统的管理员权限或者资格,进而可以去破坏系统。

白盒模式

这种模式下,测试者拥有系统的完全的权限,也有查看系统源代码和网络架构的权限,能够看到系统中数据的处理过程和数据的流动情况。白盒测试的目的,是为了测试系统在数据丢失的情况下,系统隐含的系统漏洞和弱点,进而是不是可以对客户或系统造成伤害。所以很多时候在做白盒模式的渗透测试时需要从源代码入手,再结合操作系统和网络接口。进而分析潜在的漏洞。

综上这三种形式是常用的渗透测试的模式。 但是实际的操作中,会把这三种模式结合起来。这样才能获取测试的最大价值。
在这里插入图片描述

测试论道
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透测试流程与内网渗透测试实战
悦分享
07-15 7255
关于免杀,我使用的全部是msf的编码自免杀,64位使用的是x64/zutto_dekiru,32位使用的是x86/shikata_ga_nai,360都没有拦截。虽然靶机中有360,但是我直接上传的mimikatz也没有被杀,所以我有些怀疑是360的版本比较低,除了web服务器上传的第一个payload,其它都进行了编码处理,而第一个也确实没有执行成功,这说明360至少对第一个payload是拦截了的。
渗透测试PTES标准流程(超详细)
热门推荐
一颗小白菜
04-15 1万+
渗透测试的基本流程一、什么是渗透测试?二、渗透测试的阶段过程 一、什么是渗透测试渗透测试就是利用学习掌握的技能通过一种模拟攻击的技术与方法,挫败目标系统的安全控制策略并获得控制访问权的安全测试方法,对网站进行渗透,发现其中的漏洞风险,并撰写报告告知客户,客户依据我们攥写的报告对漏洞和风险进行修补,防止攻击。 进行渗透测试的前提必须是在经过客户书面授权之后进行的! 如果没有取得客户的书面授权进行渗透测试是违法的行为,最少三年哦!在2016年11月7日通过2017年6月1日施行的《网络安全法》中有明确规定。
渗透测试方法论(渗透过程)
weixin_47104450的博客
07-24 873
通用测试框架流程 通用测试框架流程分为10个过程,分别是: 1.范围界定 2.信息搜集 3.目标识别 4.服务枚举 5.漏洞映射 6.社会工程学 7.漏洞映射 8.权限提升 9.访问维护 10.文档报告 1.范围界定 (1)取得授权 接到项目后跟客户确定范围,如果在测试范围之内就是合法授权的 (2)测试对象是什么 比如测试的是哪个IP段、哪个网址、哪些资产、哪些域名 (3)应当采取何种测试方法 比如黑盒或者是白盒,包括里面的具体手段,例如:扫描、手工等 (4)在测试过程中需要满足的条件 这里也包括一些限制条
渗透测试方法共有多少种方法?
VN520的博客
04-06 2913
每种方法的渗透测试都需要特定的知识、方法和工具来执行,并且。网络服务渗透测试是最常见的渗透测试类型之一。该种渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。执行鉴于网络为企业提供关键任务服务,以上攻击建议至少每年执行一次内网和外网网络渗透测试。这将为的企业提供足够的覆盖范围以抵御这些攻击媒介。Web 应用程序渗透测试,用于发现基于 Web 的应用程序中的漏洞或安全弱点。
渗透测试方法共有多少种方法?_渗透测试包括哪些
最新发布
weixin_42340783的博客
08-06 1095
按照类型的不同,渗透测试方法可以分为一下6类:1、网络服务2、Web应用程序3、客户端4、无线网5、6、物理渗透测试每种方法的渗透测试都需要特定的知识、方法和工具来执行,并且。网络服务渗透测试是最常见的渗透测试类型之一。该种渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。执行的目的是以保护的企业免受常见的基于网络的攻击,包括:• 防火墙错误配置和绕过防火墙• IPS/IDS规避攻击。
渗透测试方法论
weixin_34376562的博客
11-09 245
为什么需要渗透测试?          答:如果不能确定防火墙、IDS、文件完整性监控等风险减缓控制的实际效果,那么就应当进行渗透测试。虽然漏洞扫描(脆弱性评估)能够发现各个漏洞,但是渗透测试则会验证这些漏洞在实际环境里被利用的可能性。       标准的渗透测试          .事前互动          .情报收集          .威胁建模          .漏洞分...
渗透测试方法论(详解)
m0_46397814的博客
07-31 1155
0x01 渗透测试的种类 黑盒测试 黑盒测试也称功能测试,它是通过测试来检验每个功能是否能正常使用。在进行黑盒测试验时,渗透测试工程师不清楚被测目标内部构造的情况下,从外部评估网络基础设施的安全性,在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。渗透工程师应该了解这些安全弱点并将安全弱点进行分类,并按照风险等级(高、中、低)对其进行排序。风险等级取决于相关弱点可能形成危害的大小。当测试人员完成黑盒测试的所有工作之后,应当把与测试对象安全状况有关
渗透测试
Sisyphuss Blog
06-02 3908
渗透测试概述 目录如下: 文章目录渗透测试概述简介:渗透测试与入侵的最大区别:渗透的目的:渗透可能利用的途径:常用名词:一般渗透测试流程明确目标信息收集漏洞探索方法:漏洞验证信息分析获取所需信息整理形成报告流程总结信息收集的补充:下面是一些基本的搜索语法:查找后台查看服务器使用的程序查看上传漏洞查找注射点这里推荐一个工具:heHarvester:Whois信息收集:**whois信息查询****子...
XX系统渗透测试报告IT
07-07
渗透测试的益处主要体现在以下几个方面: 1. 明确安全隐患点:通过模拟黑客入侵,找出系统中的薄弱环节。 2. 提高安全意识:使管理人员意识到每个小缺陷都可能成为重大风险的源头。 3. 提升安全技能:测试过程和报告...
渗透测试.pdf
07-15
基于网络的渗透测试中,ARP嗅探是一种常见的技术,它通过网卡设置为混合模式来捕获网络数据,可以捕获密码、机密信息或完整会话。ARP嗅探器是插入网络中用于监听通信的设备,而ARP攻击则是通过伪造IP地址和MAC地址来...
应用安全渗透测试技术方案.docx
10-18
应用安全渗透测试技术方案 应用安全渗透测试技术方案是指通过模拟攻击...这项技术方案需要考虑多个方面,包括国内信息安全情况、渗透测试简介、渗透测试服务的独立性、APP渗透测试服务模式说明和渗透测试服务流程等。
网络安全渗透中常用的10种渗透测试方式
2301_76161259的博客
02-28 994
1、信息收集信息收集剖析这是所有侵略恶意攻击前提条件/原曲/基本。根据对互联网信息收集剖析,能够随之、针对性地制订仿真模拟黑客攻击恶意攻击方案,以提升侵略成功概率、减少曝露或被发现了的机率。信息收集的办法包含服务器网络扫描、操作类型辨别、运用辨别、账户扫描仪、配置辨别这些。2、端口扫描根据对总体目标地址的TCP/UDP端口扫描,确认其所开放式的提供服务的数量及种类,这是每个网站渗透测试的前提。
常用的渗透测试攻击手段三剑客
网站安全资讯
07-14 896
国内对渗透测试以及安全评估的研...
最全的渗透测试具体详细检测方法
2301_76168381的博客
03-09 1575
最全的渗透测试具体详细检测方法
渗透测试--ARP攻击
songbai220
12-12 1133
ARP攻击 简介 ARP(address resolution protocol 地址解析协议)在局域网中,网络实际传输的是“帧”,帧里面包含有目标主机的MAC地址,在以太网中一个主机要和另外一个主机进行通信,必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前,将目标的ip地址转换成MAC地址的过程。 ARP攻击的危害 ARP可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信,也可以截取全网络数据包等。 实
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

测试论道

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值