本文介绍了渗透测试的基础知识,包括黑盒、白盒、灰盒测试的区别,并详细阐述了渗透测试的一般流程:目标确认、信息收集、漏洞发现、漏洞利用、权限维持内网渗透和目标获取。强调了信息收集的重要性,列举了信息收集的内容和工具,并提醒在渗透测试中应避免破坏数据,遵守相应规则。
渗透测试指网络安全专业人员模拟黑客入侵方式对目标进行攻击,以此来评估目标的安全防御能力。一般分为:黑盒渗透测试、白盒渗透测试、灰盒渗透测试。
选择的渗透测试类型主要取决于公司和组织的用途和范围,他们是否想要模拟员工、网络管理员或外部来源的攻击。在黑盒渗透测试中,测试人员没有获得关于他将要测试的应用程序的许多信息,测试人员有责任收集有关目标网络,系统或应用程序的信息;在白盒渗透测试中,测试人员将获得有关网络,系统或应用程序的完整信息以及源代码,操作系统详细信息和其他所需信息。它可以被认为是模拟内部来源的攻击;在灰盒渗透测试中,测试人员将具有应用程序或系统的部分知识。因此,它可以被认为是外部黑客的攻击,黑客已经非法访问组织的网络基础设施文档。
从实际的渗透测试人员来看,在执行过程中一般的渗透测试是一个怎么样的流程呢?一般可以分为以下几个过程:目标确认、信息收集、漏洞发现、漏洞利用、权限维持内网渗透、目标获取痕迹清理。
一、目标确认
目标确认指明确此次渗透的目标(获取权限还是获取数据?)、范围时间、约束条件等。这个目标有两层含义,简单来说就是最终木目的是什么?我要拿到什么?
二、信息收集
信息收集:在明确目标之后,要收集目标范围内的各类信息。在一开始接触渗透测试的时候,你可能听过这样一句话,渗透测试的本质是信息收集。确实没错,为什么需要做信息收集?因为你不去做信息收集,那么你攻击的范围就会很窄,死盯着一个现
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
