小白学习渗透~网络安全
首先为什么要讲这篇呢?
以为渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说 渗透测试 的流程及渗透测试相关概念。
这个小白要提前先了解下,对以后学习有很大认知,不至于乱打一通,导致走火入魔而进行自废武功。
*渗透测试与入侵的最大区别
• 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。
• 入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。
在此提醒:做一个守法守律的白帽子。
1.渗透测试流程
2.1 明确目标
• 确定范围:测试目标的范围,ip,域名,内外网。
• 确定规则:能渗透到什么程度,时间?能否修改上传?能否提权等。
• 确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?等等。(立体全方位)
根据需求和自己技术能力来确定能不能做,能做多少。
2.2 信息收集
方式:主动扫描,开放搜索等