网络安全笔记-99-渗透-渗透测试方法论

最新推荐文章于 2022-04-12 21:34:03 发布
最新推荐文章于 2022-04-12 21:34:03 发布
阅读量157 收藏 1
点赞数 1
分类专栏: 网络安全笔记 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/112241843
版权

渗透测试方法论

通用渗透测试框架

  1. 范围界定

    1. 测试对象
    2. 测试方法
    3. 测试过程中需满足的条件
    4. 限制测试过程的因素
    5. 测试周期
    6. 测试目标

  2. 信息搜集

    1. dns服务器,路由关系,whois,数据库,电子邮件地址,电话号码,个人信息,用户账户

  3. 目标识别

    1. 识别网络状态

    2. 操作系统

    3. 网络架构

      (识别设备)

  4. 服务枚举

    1. 开放的端口(端口扫描)

  5. 漏洞映射

    1. 查找已知和未知的漏洞(漏洞扫描)

  6. 社会工程学

    1. 伪装成网络管理员
    2. 钓鱼邮件

  7. 漏洞利用

    1. 控制目标系统

  8. 权限提升

    1. 从普通用户提权到管理员账户

  9. 访问维护

    1. 后门程序

  10. 文档报告

    1. 形成报告
    2. 提出修复方案

简化渗透测试流程

  • 明确目标
    • 确定范围|确定规则|确定需求
  • 信息收集
    • 基础信息|系统信息|应用信息|人员信息|防护信息
  • 漏洞探测
    • 系统漏洞|web服务漏洞|web应用漏洞|其他端口|通信安全
  • 漏洞验证
    • 手工验证|工具验证|实验验证
  • 漏洞利用
    • 定制EXP|防御绕过|进一步渗透|清理痕迹
  • 形成报告
    • 整理结果|补充介绍|修复建议
wwxxee
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-渗透完整笔记
03-27
网络安全中的渗透测试是一种合法的、经过授权的模拟黑客攻击行为,旨在评估并增强网络系统安全性。渗透测试通过发现和利用系统中的弱点、技术缺陷或漏洞,帮助企业和组织识别潜在的安全风险,确保网络防御机制的有效...
HCIP-Security 网络安全 上课笔记
06-26
HCIP-Security 网络安全 上课笔记 本文档主要讲解HCIP-Security网络安全上课笔记,涵盖了Eth-trunk的配置、LACP模式、链路健康检查等网络安全知识点。 1. Eth-trunk配置 Eth-trunk是将多个物理接口捆绑成一个逻辑...
渗透测试方法论
weixin_34376562的博客
11-09 238
为什么需要渗透测试?          答:如果不能确定防火墙、IDS、文件完整性监控等风险减缓控制的实际效果,那么就应当进行渗透测试。虽然漏洞扫描(脆弱性评估)能够发现各个漏洞,但是渗透测试则会验证这些漏洞在实际环境里被利用的可能性。       标准的渗透测试          .事前互动          .情报收集          .威胁建模          .漏洞分...
冰河的渗透实战笔记-冰河.pdf
05-18
冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
内网安全攻防-渗透测试指南 读书笔记.pdf
09-09
### 内网安全攻防-渗透测试指南 读书笔记 #### 一、内网渗透测试基础 在进行内网渗透测试之前,理解Powershell执行策略及其如何影响脚本运行至关重要。 - **Powershell执行策略**:Powershell的安全执行策略通过...
网络安全on-model-for开发笔记
最新发布
06-08
"网络安全on-model-for开发笔记"可能是指一种基于模型的网络安全解决方案,它涉及到深度学习技术,特别是卷积神经网络(CNN)、双向长短期记忆网络(Bi-LSTM)以及注意力机制(Attention Model)在网络安全入侵检测...
渗透测试方法论(详解)
m0_46397814的博客
07-31 1143
0x01 渗透测试的种类 黑盒测试 黑盒测试也称功能测试,它是通过测试来检验每个功能是否能正常使用。在进行黑盒测试验时,渗透测试工程师不清楚被测目标内部构造的情况下,从外部评估网络基础设施的安全性,在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。渗透工程师应该了解这些安全弱点并将安全弱点进行分类,并按照风险等级(高、中、低)对其进行排序。风险等级取决于相关弱点可能形成危害的大小。当测试人员完成黑盒测试的所有工作之后,应当把与测试对象安全状况有关
渗透测试方法论概述
weixin_43102231的博客
08-14 707
渗透测试方法论 渗透测试(peneration testing,pentest),人们在网络、应用、系统或三者组合的安装状况时总结的一套理论。 一、种类,概述: 黑盒测试 白盒测试 OWASP Top10 通用缺陷列表 (Common Weakness Enumeration,CWE) 某一类漏洞编号 通用漏洞与披露(Common Vulnerabilities and Exposures,CVE) 某一个漏洞编号 MS17-010 微软在17年发布的第十个安全公告(一个安全公告就是一个
4-1 渗透测试方法论
小约翰呼噜噜的博客
09-18 205
4-1 渗透测试方法论 方法论是指在指定、实施信息安全审计方案时,需要遵循的规则、惯例和过程。 渗透测试方法论是指先前的安全人员在测试和评估网络、应用、系统或三者结合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结出的一套理论。 1. 通用渗透测试框架 该框架(方法论)是从项目经理(技术管理)的角度来看,遵循正规的测试框架对安全测试极为重要。通用渗透测试框架涵盖了经典的审计测试工作和渗透测试工作会涉及到各个阶段。一次完整的渗透测试的方法步骤如下: 范围界定 信息收集 目标识别 服务枚举 漏洞映射
「安全」渗透测试方法论
_DESpiSED的博客
12-09 337
渗透测试方法论
Web安全第 01 讲:渗透测试方法论
分享日常工作技术
12-31 1245
一、Web工作机制 1.1、浏览网站经历的过程 本地缓存 --> host --> IP/ARP --> DNS --> IP --> 网关--> 路由--> 到达对方主机--> 访问80、443端口--> 3次握手--> 建立连接--> 发送HTTP数据包--> HTTP响应 二、简化的渗透测试流程 简化的渗透测试流程是在进行渗透测试过程中经常使用的流程,以漏洞为核心,具体如下: 2.1、明确目标 确定范围 | 确定规则
转载:渗透测试方法论(阅读)
Zeker62的博客
08-10 295
https://www.cnblogs.com/Sumarua/p/13521405.html @目录第2章 渗透测试方法论2.1 渗透测试的种类2.1.1 黑盒测试2.1.2 白盒测试2.2 脆弱性评估与渗透测试2.3 安全测试方法论2.3.1 开源安全测试方法论(OSSTMM)2.3.2 信息系统安全评估框架2.3.3 开放式Web应用程序安全项目2.3.4 Web应用安全联合威胁分类2.4 渗透测试执行标准2.5 通用渗透测试框架2.5.1 范围界定2.5.2 信息收集2.5.3 目标识别2.5.4
渗透测试基础-1】渗透测试方法论渗透测试流程
m0_64378913的博客
04-12 4399
目录1 渗透测试方法论1.1 渗透测试方法论的定义1.2 渗透测试的种类1.2.1 黑盒测试1.2.2 白盒测试1.3 脆弱性评估与渗透测试2 安全测试方法论3 渗透测试流程3.1 渗透测试执行标准PTES3.2 通用渗透测试框架3.2.1 范围界定3.2.2 信息搜集3.2.3 目标识别3.2.4 服务枚举3.2.5 漏洞映射3.2.6 社会工程学3.2.7 漏洞利用3.2.8 权限提升3.2.9 访问维护3.2.10 文档报告3.3 简化渗透测试流程4 归
渗透测试介绍
arvin_top的博客
10-31 1008
1.安全问题的根源: 分成思想的优劣只追求功能实现最大的威胁是人 2.攻击性安全--渗透测试: 发现系统安全弱点测量安全防护有效性证明安全问题的存在 3.渗透测试标准: PETS(http://www.pentest-standard.org)前期交互阶段情报收集阶段(DNS,邮箱,域名,公司动态等等)威胁建模阶段漏洞分析阶段(编写有针对性的漏洞攻击代码)渗透攻击阶段后渗
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值