网络安全-渗透测试流程与网站运行原理

网络安全-渗透测试流程与网站运行原理

什么是渗透？

来讲讲，军事吧
比如军队的演习对抗
红方-进攻方
蓝方-防守方
那么渗透则是特种部队，特种兵
电视剧能看到的什么斩首行动呀~，渗透到敌方大后方

那么在网络中，渗透和上面这个原理是一样的
渗透测试工程师就相当于特种部队里面的特战队员

渗透测试是模拟黑客的攻击方法，重点是测试攻击，防御手段，是过程，而不是不计后果个的攻击，它是一套流程。去发现漏洞并且帮助对方去建立防御手段，而且必须是在授权的情况下，否则则是违法操作。

很多白帽子在各大网络安全公司干的就是web渗透测试

一般分七个步骤

一,确定目标，选择网站
二，收集目标相关信息，比如操作系统，数据库，端口，使用的语言，子域名，CMS系统等
三，漏洞探测，利用找到的信息，寻找目标的脆弱点
四，漏洞利用，找到弱点后，进一步的攻击系统，拿到权限
五，渗透目标内网的其他主机，获得权限作为跳板，攻击其他的主机
六，验证漏洞以及修复漏洞
七，清楚痕迹以及出报告

常见词

windows-server（windows的服务器版本）
linux（全英文的操作系统）

用来做网站的
Tomcat
Apache
Nginx
以上都较常见的

网站建立起来，需要数据库来存放数据
Mysql
SQL-server
Access

网站是用代码去写的
例如
ASP
PHP
JSP
PYTHON
JAVA
c++
这些语言

静态资源
html
css
javascript

以上的都是不同的渗透方向，所以web渗透也分很多方向