渗透测试流程之信息收集、漏洞挖掘

最新推荐文章于 2024-04-23 17:21:37 发布
最新推荐文章于 2024-04-23 17:21:37 发布
阅读量4.5k 收藏 31
点赞数 3
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40586270/article/details/81475277
版权

           渗透测试的流程是非常重要的,你要知道你做的每一步,以及下一步要做什么。信息收集是渗透测试的一个重要步骤,包含了一下几个大小类。

           一:域名信息

            1、whois

            用法:在线工具:http://whois.chinaz.com或kali终端输入whois

            注册人、邮箱、地址、电话、DNS

            2、Google hack       robots(敏感目录)

            3、IP信息:旁站,C段,端口 nmap ,端口对应的服务  msf

            4、旁注:Bing查询,VPS注意权限 

            5、CDN:Cloudfiare , 从子域入手:mail,postfix,i.links.cn(查看ip,从结果分析是否使用了CDN),DNS传送域漏洞                 (使用nslookup)              

            二:服务器、组件(指纹)

            1、操作系统,web server(apache nginx,iis),程序语言

            三:信息泄露

            1、info.php,物理路径

            四:总结

             1,

最低0.47元/天 解锁文章
LTW.Hinscheung
关注
  • 3
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
漏洞挖掘教程
WINDY_PACE的博客
05-13 3704
明确是在哪种系统进行渗透,今天选择windows系统进行渗透,而明确目标的意思就是明确测试的需求,判断测试是针对哪方面漏洞,是针对支付漏洞,还是逻辑漏洞,还是管理员权限漏洞,其次就是渗透范文,如IP段,域名、整站渗透或者部分模块渗透,最后确定渗透规则,而在这个阶段主要就是测试人员针对测试项目有明确的测试方向,也是为了更好的制定测试计划
web渗透信息收集
qq_45584159的博客
12-15 2987
文章目录信息收集域名信息收集网站指纹识别服务器类型(Linux/Windows)网站容器(Apache/Nginx/Tomcat/IIS脚本类型(php/jsp/asp/aspx)数据库类型(Mysql/Oracle/Accees/Mqlserver)常见搭配:端口扫描(nmap)网站敏感目录和文件旁站和C段扫描网站漏洞扫描 信息收集 信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜! 信息收集的..
渗透测试——信息收集(超详细)
最新发布
qq_62291388的博客
04-23 2151
该篇详细记录了渗透测试的前期——信息收集讲解
漏洞信息收集-04
小蛙
12-23 544
信息收集也包括目标站点或系统曾经是否有被攻击的历史。已公开的渗透过程具备很好的参考价值,能够较为清楚的了解目标站点或者系统的相关配置、平台技术、漏洞分布等信息 漏洞平台是很好的信息收集平台,能够通过公开的漏洞报告了解目标的各项信息,常用的漏洞平台如下: 乌云漏洞平台、360补天漏洞平台、Exploit-DB、GHDB、CVE中文漏洞信息库、中国国家信息安全漏洞库、国家信息安全漏洞共享平台 ...
渗透测试初步学习之信息收集
Super_Yiang的博客
09-07 434
渗透测试初步学习之信息收集信息收集的主要目的是为了制定下一步的攻击方案。 ​ 那信息收集收集哪些信息? 是否存在CDN (1)简介 ​ CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网...
漏洞挖掘渗透测试的区别
白帽子佳奇的博客
12-21 832
漏洞挖掘渗透测试是网络安全领域的两个重要活动,它们虽然在目标上有所重叠,但在方法、目的和范围等方面存在明显差异。
「安全测试」论src漏洞挖掘的前期信息收集 - 数据库安全.zip
11-25
前期的信息收集是整个漏洞挖掘过程的基础,尤其在涉及数据库安全的情况下,这个阶段的工作更为关键。下面将详细讨论这一领域的相关知识点。 首先,了解业务安全是基础。任何系统都是为了支撑业务而存在,因此,理解...
渗透测试思维导图下载
11-07
"渗透测试漏洞挖掘关键点.bmp"可能是一份详细列出了在渗透测试中应重点关注的漏洞挖掘策略的图表。这些关键点可能包括但不限于:网络拓扑结构的理解、公开源代码的审查、配置错误的查找、默认密码的检测、不安全的...
渗透基础笔记+作业(永恒之蓝复现)
09-08
总结起来,渗透测试是一个综合性的过程,涵盖了情报收集、威胁建模、漏洞分析、渗透攻击和后渗透操作,旨在全面评估系统的安全性。对于特定的漏洞如“永恒之蓝”,了解其工作原理和复现过程,对于提高网络安全防护至...
web漏洞挖掘快速入门.pdf
03-21
web漏洞挖掘快速入门,涵盖完整的漏洞挖掘流程,从前期的信息搜集一直到后渗透测试,是新手入门挖洞的理想指南。
JS前端信息收集工具包
01-24
在网络安全领域,特别是进行渗透测试时,前端信息收集是至关重要的一步。"JS前端信息收集工具包"正是一款专为此目的设计的实用资源。这个工具包包含了多种工具,可以帮助安全专家和研究人员快速有效地获取Web应用...
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
渗透测试漏洞利用之漏洞攻击
热门推荐
Jeanphorn的专栏
06-14 1万+
1. 查找目标系统的相关漏洞  在前一篇渗透测试的博文中,介绍了目标系统相关信息收集方法。接下来,任意Kioptrix靶机为例,具体介绍下相关漏洞的详细利用过程。   在exploit-db.com网站上,一般能够找到已知漏洞的有价值的信息,以及验证其有效性的概念验证代码(POC)。概念验证代码可以帮助你理解这个漏洞的原理和形成机制,从而让你能够确定防护措施是否正常工作。2. 离线的漏洞库  在
1.手动挖掘漏洞,详细解说,明实验和使用 (身份验证)
qq_41860876的博客
09-14 865
任务086:手动漏洞挖掘(二) 这个是我的看的教程的笔记 身份认证 1.常用弱口令/基于字典密码爆破 2.账号锁定 3.信息收集 手机号 密码错误提示 4.密码嗅探 常用弱口令/基于字典密码爆破 就是像网站登陆账号密码了列账号admin密码123456 账号锁定就是连续密码错误就不在登陆了 信息收集1.手机号像出来的账号里手机号什么什么的排名像18272xxxx15就号找到这个账号2.密码错误...
漏洞扫描与渗透测试的区别
HoewDec的博客
05-14 961
漏洞扫描和渗透测试有什么区别?渗透测试漏洞挖掘虽然都是一种测试安全系统的方法,但它们之间的区别在于测试的目的和方法。渗透测试通常是由专业的测试人员模拟黑客攻击,通过手工测试和自动化测试相结合的方式,从多个角度评估系统的安全性。渗透测试通常采用黑盒测试方法,即测试人员只知道被测试系统的外部信息,并试图模拟黑客攻击,从而发现系统中的漏洞渗透测试漏洞挖掘都是一种测试安全系统的方法,它们之间的区别主要在于测试的目的和方法。漏洞扫描和渗透测试都是一种测试安全系统的方法,它们之间的区别主要在于测试的深度和范围。
腾讯面试:渗透测试漏洞扫描有什么区别?
jklbnm12的博客
06-30 1761
前言: 上半年,时断时续的网络安全事件已经过去,下半年的事件又不得不重新开始。最近有意思的是,我的一个朋友几天前去参加一个技术面试,被一个简单的问题“渗透测试漏洞扫描有什么区别”甩了,当时,我也有点困惑。说实话,对于一个小白新手来说,两者的区别可能是一、二、三。对于当时的面试官,我是否也会说这两个是不同的呢?不管怎么说,这都是关于发现漏洞,使用漏洞,采取服务器webshell,提高权利,内网渗透,权限维护等。但如果你给出这样的技术答案,你会像我的朋友一样不及格,如果你遇到一个好心的面试官,你可能会留.
漏洞评估和渗透测试的区别
weixin_34342207的博客
07-21 1119
2019独角兽企业重金招聘Python工程师标准>>> ...
web应用漏洞挖掘技术
赵加美的专栏
07-30 394
单位组织的web应用漏洞挖掘技术的讲座,刚好之前工作接触过SQL注入和文件处理漏洞攻击的相关内容,所以对这方面稍微有点儿了解,也想通过讲座学习一下别人的想法和分享的知识。简单记录一下讲座内容。 图自网络 web发展趋势1、web1.0时代:门户网站时代,1989年-2000年,11年的时间2、web2.0时代:用户创造时代,从2001年开始算起。前...
渗透测试面试题2019版.docx
02-08
"渗透测试面试题2019版.docx" 渗透测试是指模拟攻击者对目标系统...通过信息收集漏洞挖掘漏洞利用&权限提升和清除测试数据&输出报告等步骤,可以发现目标系统或网络的安全漏洞,并采取相应的安全措施来加强防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值