企业生产环境做渗透测试应该注意什么?

最新推荐文章于 2023-07-06 18:41:44 发布
最新推荐文章于 2023-07-06 18:41:44 发布
阅读量738 收藏 2
点赞数 2
分类专栏: # 安全杂类 文章标签: 生产线渗透测试需要做什么 生产线渗透测试企业怎么监控 生产线渗透测试需要的注意生 生产线渗透测试关注内容
anansec
本文链接:https://blog.csdn.net/weixin_42380348/article/details/118105446
版权

这个问题可以说是真的很傻缺,因为既然是做渗透测试而非黑客攻击,为什么非要在生产环境搞,一不小心把服务搞挂了谁能负责,真的太心大了,今天我被问到这个问题了,没办法,作为一名安全工程师需要给出自己的建议,将风险降到最低!
1.确定渗透测试的注意事项
2.扫描前一定要备份数据库、备份代码
3.禁止登陆扫描(否则你会哭死)
4.降低扫描线程(避免把服务扫死)
5.增删改一定要手工操作(扫描器会真的删你的数据)
6.禁止脱库 跑数据 传 shell(避免测试人员留后门或者后门清理不彻底)
7.如需测命令执行类漏洞需要执行命令的时候一定要执行 whoami 等无害命令
8.不能进行 DDOS攻击
9.扫描过程监控带宽是否因为扫描达到阈值而影响业务
10.扫描过程监控服务进程是否因为扫描占用资源过高,导致服务响应不及时
11.扫描过程监控应用程序是否运行顺畅

anansec
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
安全测试渗透测试区别
03-23
安全测试渗透测试区别.安全测试不同于渗透测试渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自哪个方面的威胁,正在遭受哪些威胁,以及您的系统已   安全测试不同于渗透测试渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个方面,各个层面威胁的全面考量。安全测试可以告诉您,您的系统可能会来自哪个方面的威胁,正在遭受哪些威胁,以及您的系统已经可抵御什么样的威胁。当然,安全测试涵盖渗透测试的部分内容。安全测试渗透测试的区别主要在:   渗透测试考虑的是以黑客方
渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
freeking101的博客
07-02 4282
基于 Windows、Linux、Android 的渗透测试系统
渗透测试流程详细讲解
ytt0523_com的博客
07-06 1979
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试-应急响应思路分享
lza20001103的博客
08-18 957
渗透测试-应急响应思路分享 文章目录渗透测试-应急响应思路分享0x01 背景描述0x02 排查过程0x03 病毒处置0x04 总结 0x01 背景描述 主机192.168.2.158主机连接挖矿域名,且出现主机卡顿和CPU占用高等现象,并且主机未安装任何防护设备和杀软。 0x02 排查过程 通过top命令查看CPU占用,发现CPU占用率较高的进程名为“work32”,PID为2411。 通过PID获得对应进程目录和进程。 定位进程目录为/usr/.work,目录主要包含以下内容: 通过沙箱分析文件wor
关于渗透测试的优缺点,你知道吗?
w3cschools的博客
07-02 611
关于渗透测试的优缺点,知名白帽黑客、东方联盟创始人郭盛华曾公开透露:“渗透测试是作为深入的——使用定制的渗透测试框架对你的系统进行彻底的测试 ——以发现组织内隐藏的漏洞。渗透测试的优点可能包括:1、由专业的渗透测试人员团队深入了解和测试您的系统。2、为满足您组织的需求而定制的测试。3、提供威胁参与者如何利用漏洞的演示。4、包括攻击后阶段的渗透测试报告,以提供详细的补救建议。渗透测试的缺点可能包括:它通常需要比漏洞扫描更长的时间。您可能会发现如此多的漏洞,以至于报告中的建议可能会让人不知所措。建议分解为要努力
客户网站渗透测试需要准备的事项
网站安全专家
11-30 407
对于客户的渗透测试来说,在进行前与用户沟通某些有关事项是非常必要的:首先是渗透测试的目的:用户这次的需求是什么?等待保险、日常安全检查或者其他目的,不同的目的决定了不同的漏洞评估等级,在测试过程中也感受到不同的方法。二是渗透测试总体目标:总体目标通常分为服务器和软件系统,这两个总体目标的渗透方式大致相同。软件系统的渗透测试,还要辨别软件系统后端的服务器。往往在软件系统渗透失败的时候,我们可以从服务器层面突破,反之亦然。第三是总体目标环境:通常我们的渗透测试会在两个环境下进行,一个是生产环境,一个是测试环境
完成一次渗透测试项目
bloodzer0
03-04 1563
背景:小B接到一个渗透测试任务,由于很久没有从乙方视角执行渗透测试的他决定先梳理一下自己的思路。 准备工作 第一个是渗透测试用例:对于技术人员来讲这是一个比较好的知识点沉淀的方式,不但有助于你在每一次的渗透测试中不遗漏掉某个点,并且还可以在团队内部进行共享方便提升团队内部成员的技能。 第二个是工具箱:工欲善其事必先利其器,有一个好的工具箱决定我们在渗透测试时的效率。一个好的工具箱应该包括,不同操作...
网络渗透测试环境安装包
01-14
phpStudy、DVWA、Mutillidae
大型企业渗透测试技巧.pdf
08-08
相对于沙龙现场的大部分乙方安全人员不同,香克斯现就职于某大型甲方公司,他曾为了锻炼自己的技术能力,了解大型企业的安全布控,在多个不同的甲方单位工作过。...测试时有哪些比较重要的手法和注意
渗透测试环境部署DVWA
最新发布
10-29
部署渗透测试环境,网络安全测试环境部署
企业渗透测试指南
10-23
企业渗透测试指南,渗透测试类型及方法概述,帮助了解企业渗透测试流程
各种网络环境渗透测试概述
轩辕剑仙のBLOG
05-03 884
一、渗透测试概念 渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。 渗透测试还具有的两个显著特点是: 渗透测试是一个渐
企业环境渗透1&2问题总结
weixin_44520769的博客
05-16 365
实验时遇到的问题汇总,希望能帮助到大家???? 企业环境渗透1 任务二 sql注入 联合查询失败问题 可以大小写绕过 ?id=-1 UniOn SeleCt 1,2,3,4,5,6,7,8,9,0 发现 1 和 3 为显示位 ,接下来就可以进行一系列操作啦 确定当前使用的数据库 ?id=-1 UniOn SeleCt 1,2,database(),4,5,6,7,8,9,0 确定当前使用的用户 ?id=-1 UniOn SeleCt 1,2,user(),4,5,6,7,8,9,0
确定渗透测试注意事项
安全界的彭于晏的博客
06-17 682
1.确定渗透测试注意事项 2.通知客户备份数据库备份代码 3.禁止登陆扫描 4.降低扫描线程 5.增删改一定要手工操作 6.禁止脱库 跑数据 传 shell 7.执行命令的时候一定要执行 whoami 等无害命令 8.不能进行dos D DOS攻击 ...
企业渗透测试和持续监控
06-30
【为什么学习这门课程?】 企业渗透测试和持续监控在线课程是白帽艺术系列视频的一部分,通过内部/外部侦察、社会工程、网络和漏洞扫描,逐步示范了对企业网络进行安全评估(渗透测试)的现实场景。您还将学习如何执行web应用程序测试、内部网络测试、权限升级、密码破解和数据泄露,以探测和减轻企业漏洞。本课程最后介绍了报告和评估方法,以确保您的企业环境在不断变化的威胁和安全漏洞面前保持安全。【本门课程亮点】 帮助您学习在企业网络环境中执行高级渗透测试所需的技能。课程包含循序渐进的指导,这样您就可以学习道德白帽、渗透测试和安全态势评估。您还将学习行业中许多不同的前沿安全技能相关的各种概念。课程包含真实场景的多媒体教程和实践演示,想要成为职业道德白帽或跟上不断演变的漏洞威胁的人,可以通过学习本课程了解企业网络安全的弱点。 【讲师介绍】  Omar Santos(奥马尔·桑托斯)—— 思科PSIRT首席工程师、作家Omar Santos(奥马尔·桑托斯)是思科产品安全事件响应团队(PSIRT)的首席工程师,指导和领导团队工程师和事件经理对安全漏洞进行调查和解决。桑托斯著有20多本网络安全方面的专著,在全球拥有大量读者,他制作的大量白皮书、文章、安全配置指南等相关内容被大量媒体引用,如《共和报》、《连线》、《ZDNet》、《网络独家新闻》、《TechCrunch》、《财富》、《Ars Technica》等等。同时,他还是网络安全社区的一名活跃成员,他参与很多重要行业的网络安全倡议和标准制定。他还会积极帮助企业、学术机构、州和地方执法机构,提高关键基础设施的安全性。【课程收获】 1、计划、建立和管理一个红客队伍来进行企业白帽活动 2、使用被动/主动侦察、社会工程、网络和漏洞扫描来探测企业漏洞3、确定目标主机、部署工具危害web应用程序4、学习如何渗透网络,扫描易受危害的目标和开源软件,如何通过夺旗以确定企业的弱点 5、使用经过验证的方法和工具升级网络访问权限 6、执行密码破解,破解网络和用户凭证,获取敏感数据,并掩盖过程踪迹 7、测试云服务的漏洞 8、对渗透测试事件进行报告,并建立一个持续的监控基础设施,以缓解正在进行的威胁 【面向人群】 1、所有开始从事职业白帽和渗透测试工作的网络安全专业人员 3、准备考取CompTIA PenTest+,道德白帽认证(CEH),危害安全专家认证(OSCP),以及其他道德白帽认证的人3、任何想要学习成为道德白帽所需技能的网络安全专业人员,或者想要学习更多关于一般安全渗透测试方法和概念的网络安全专业人员
渗透测试环境的搭建(一)
学者博客
07-17 6969
工具有: Phpstudy phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境·该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等·总之学习PHP只需一个包。 下载工具 可直接通过phpstudy的官网进行下载,地址htt...
渗透测试-环境(1)
清风冷吟
08-11 689
渗透测试-环境(1)代理实验环境linux虚拟机(ether pad)测试用虚拟机系统Ubuntu:Metasploitable2模拟真实网络M0n0wall防火墙背靠背防火墙基本工具使用NC/ncatWiresharkTcpdump过程文档记录Dradiskeepnotetruecrypt 渗透测试-环境(1) 代理 TOR GoAgent Gtk 实验环境 linux虚拟机(ether pad) http://www.turnkeylinux.org 测试用虚拟机系统Ubuntu: 下载Ubunt.
网站后台目录扫描工具Dirbuster和御剑(脚本小子的最爱)
热门推荐
anan的博客
09-10 1万+
今天说两款网站目录扫描工具,一款OWASP的开源工具,另一个是国产的御剑。 DirBuster是一款基于java开发的多线程网站后台目录和文件爆破工具。因为是java开发,所以想使用该软件请在电脑安装jdk(其实是需要jre环节)然后就可以直接使用了! 这是我的DirBuster,可以看到后缀是jar,所以不要解压直接右键打开方式选择java(配置jdk后才有)打开就可以运行了 运行的界面是这...
渗透测试属于validation还是verification?为什么?
07-16
渗透测试属于验证(validation)的范畴。 验证是确定系统或组件是否满足特定需求、规范或标准的过程。它关注的是系统是否符合预期的功能和性能要求,以确保系统能够正确地满足用户的需求。验证通常在系统开发的早期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

anansec

打赏是我创作路上的加油剂!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值