渗透测试方法共有多少种方法?_渗透测试包括哪些

于 2024-05-11 14:59:14 发布
阅读量815 收藏 15
点赞数 29
文章标签: 网安
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57543652/article/details/138716206
版权

按照类型的不同,渗透测试方法可以分为一下6类:

1、网络服务
2、Web应用程序
3、客户端
4、无线网
5、 社会工程学
6、物理渗透测试

每种方法的渗透测试都需要特定的知识、方法和工具来执行,并且应该与特定的业务目标保持一致

1、网络服务渗透测试

网络服务渗透测试是最常见的渗透测试类型之一。该种渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。

执行网络渗透测试的目的是以保护的企业免受常见的基于网络的攻击,包括:

• 防火墙错误配置和绕过防火墙
• IPS/IDS规避攻击
• 路由器攻击
• DNS 级别攻击
区域转移攻击
基于交换或路由的攻击
• SSH 攻击
代理服务器攻击
• 不必要的开放端口攻击
• 数据库攻击
• 中间人 (MITM) 攻击
• 基于 FTP/SMTP 的攻击

鉴于网络为企业提供关键任务服务,以上攻击建议至少每年执行一次内网和外网网络渗透测试。这将为的企业提供足够的覆盖范围以抵御这些攻击媒介。

2、Web 应用渗透测试

Web 应用程序渗透测试,用于发现基于 Web 的应用程序中的漏洞或安全弱点。它使用不同的渗透技术和攻击,旨在闯入 Web 应用程序本身。

Web 应用程序渗透测试的典型范围包括基于 Web 的应用程序、浏览器及其组件,例如: ActiveX、插件、Silverlight、Scriptlet 和 Applet。

由于来自 Web 应用程序的威胁日益增加,Web 应用程序渗透测试技术随着时间的推移而不断发展。自 COVID-19 爆发以来,这种威胁已大大扩大,导致网络犯罪增加了 600%

3、客户端渗透测试

客户端渗透测试用于发现客户端应用程序中的漏洞或安全弱点。

这些可以是程序或应用程序,例如: Putty、电子邮件客户端、Web 浏览器(即 Chrome、Firefox、Safari 等)、Macromedia Flash 等。Adobe Photoshop 和 Microsoft Office Suite 等程序也需要接受测试。

执行客户端测试以识别特定的网络攻击,包括:

跨站脚本攻击
点击劫持攻击
跨域资源共享 (CORS)
表单劫持
HTML 注入
打开重定向
恶意软件感染、

4、无线渗透测试

无线渗透测试涉及识别和检查连接到企业 wifi 的所有设备之间的连接。这些设备包括笔记本电脑、平板电脑、智能手机和任何其他物联网 (IoT) 设备。

无线渗透测试通常在现场进行,因为渗透测试仪需要在无线信号范围内才能访问它。或者,可以在现场部署NUC和WiFi Pineapple以远程执行测试。

在执行无线渗透测试之前,应该考虑以下事项:

  1. 是否所有接入点都已被识别,有多少使用较差的加密方法?
  2. 流入和流出网络的数据是否加密,如果加密,如何加密?
  3. 是否有监控系统来识别未经授权的用户?
  4. IT 团队是否有可能错误配置或复制无线网络?
  5. 目前有哪些保护无线网络的措施?
  6. 所有无线接入点都使用 WPA 协议吗?
5、社会工程渗透测试

社会工程渗透测试是指,恶意行为者试图说服或诱骗用户向他们提供敏感信息,例如:用户名和密码。比如:大家的密码基本都会含有自己的生日~用户名使用的是自己的QQ号,163邮箱是某一时期使用的手机号。

渗透测试人员使用的常见社会工程攻击类型包括:

1)网络钓鱼攻击
2)钓鱼
3)Smishing
4)尾随
5)冒名顶替者(即同事、外网供应商或承包商)
6)名称删除
7)预先发短信
8)垃圾箱潜水
9)窃听
10)礼物

根据最近的统计,98% 的网络攻击都依赖于社会工程。这是因为内网用户是网络安全的最大威胁之一,并且由于诈骗的利润丰厚。社会工程测试和意识计划已被证明是缓解攻击的最有效方法之一。

例如:流行的电子邮件网络钓鱼平台 KnowBe4 模拟了电子邮件网络钓鱼攻击。当用户单击链接时,他们会被带到一个页面,该页面会通知他们这是一次网络钓鱼测试。

然后提供补救培训,以帮助教育和告知用户最新的网络攻击以及如何避免它们。

6、物理渗透测试

物理渗透测试模拟现实世界的威胁,渗透测试人员试图突破物理障碍以访问企业的基础设施、建筑物、系统或员工。

物理渗透测试的主要好处是暴露物理控制(锁、屏障、摄像头或传感器)中的弱点和漏洞,以便快速解决缺陷。通过识别这些弱点,可以采取适当的缓解措施来加强物理安全态势。

:黑客&网络安全的零基础攻防教程

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

在这里领取:

这个是我花了几天几夜自整理的最新最全网安学习资料包免费共享给你们,其中包含以下东西:

1.学习路线&职业规划

在这里插入图片描述
在这里插入图片描述

2.全套体系课&入门到精通

在这里插入图片描述

3.黑客电子书&面试资料

在这里插入图片描述

4.漏洞挖掘工具和学习文档

在这里插入图片描述

方班网络安全
关注
  • 29
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PC客户端(cs架构)渗透测试
06-19
PC客户端(cs架构)渗透测试,本项目主要针对pc客户端(cs架构)渗透测试,结合自身测试经验和网络资料形成checklist,如有任何问题,欢迎联系,期待大家贡献更多的技巧和案例。
渗透测试方法共有多少方法
VN520的博客
04-06 2703
方法渗透测试都需要特定的知识、方法和工具来执行,并且。网络服务渗透测试是最常见的渗透测试类型之一。该渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。执行鉴于网络为企业提供关键任务服务,以上攻击建议至少每年执行一次内网和外网网络渗透测试。这将为的企业提供足够的覆盖范围以抵御这些攻击媒介。Web 应用程序渗透测试,用于发现基于 Web 的应用程序中的漏洞或安全弱点。
渗透测试有哪些类型?
weixin_68789096的博客
04-06 997
在黑盒渗透测试(也称为外网渗透测试)期间,渗透测试人员几乎没有获得有关企业 IT 基础设施的信息。该测试的主要目的是通过模仿实际威胁参与者的行为来模拟对内网网络的攻击。这类型的渗透测试,试图发现和利用系统的漏洞来窃取或破坏组织的信息。渗透测试人员扮演不知情的攻击者角色,模拟真实世界的网络攻击。因此,测试将显示实施的安全措施,是否足以保护组织系统,并将结果用来评估其防御任何外网攻击的能力。部署一系列已知有效的漏洞,是渗透测试人员在黑盒测试期间闯入系统的最简单方法之一。
最全的渗透测试具体详细检测方法
2301_76694151的博客
04-24 1424
Docker是一个开放源代码软件项目,让应用程序布署在软件容器下的工作可以自动化进行,借此在Linux操作系统上,提供一个额外的软件抽象层,以及操作系统层虚拟化的自动管理机制[1]。Hadoop=HDFS(文件系统,数据存储技术相关)+ Mapreduce(数据处理),Hadoop的数据来源可以是任何形式,在处理半结构化和非结构化数据上与关系型数据库相比有更好的性能,具有更灵活的处理能力,不管任何数据形式最终会转化为key/value,key/value是基本数据单元。由于它是代码,整个过程易于重复。
安全测试与渗透测试区别
03-23
安全测试可以告诉您,您的系统可能会来自哪个方面的威胁,正在遭受哪些威胁,以及您的系统已  安全测试不同于渗透测试渗透测试侧重于几个点的穿透攻击,而安全测试是侧重于对安全威胁的建模,系统的对来自各个...
渗透测试流程(PTES)思维导图
08-02
该思维导图主要针对信息安全从业者撰写的渗透流程总结而来,其中的...部分安全策略及攻击方法都有相对应的解释,如还有部分专业术语需要本人解释的话,请私聊我。该思维导图仅供分享学习,如无法下载,可以私聊自取。
网络安全_登陆页面__渗透测试常见的几思路与总结.pdf
06-09
我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基 于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给 你一个登陆网站页面,没有测试账号,让你自己进行渗透测试,一开始...
渗透测试服务介绍_脆弱性识别
05-04
渗透测试”是完全模拟Blackhat可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。有助于用户全面掌握目标系统技术安全风险状态。 【漏洞发现】:通过服务可以对目标系统...
网络安全:渗透测试流程.xmind
11-27
网络安全渗透测试全流程思维导图,包括: 1.明确目标 2.信息收集的方式 3.漏洞扫描的方式 4.漏洞验证的方式 5.信息整理 6.形成报告 核心点集中在信息收集,漏洞扫描,漏洞验证这三个方面,是一个很好的参考流程,...
【网络安全】渗透测试方法共有多少方法
最新发布
A1_3_9_7的博客
01-16 446
按照类型的不同,渗透测试方法可以分为一下6类:1、网络服务2、Web应用程序3、客户端4、无线网5、6、物理渗透测试方法渗透测试都需要特定的知识、方法和工具来执行,并且。网络服务渗透测试是最常见的渗透测试类型之一。该渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。执行的目的是以保护的企业免受常见的基于网络的攻击,包括:• 防火墙错误配置和绕过防火墙• IPS/IDS规避攻击。
渗透测试流程详细讲解
ytt0523_com的博客
07-06 2404
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
小白必看!渗透测试的8个步骤
m0_59236127的博客
03-03 6671
渗透测试:以安全为基本原则,通过攻击者以及防御者的角度去分析目标所存在的安全隐患以及脆弱性,以保护系统安全为最终目标。入侵:通过各方法,甚至破坏性的操作,来获取系统权限以及各敏感信息。l 确定范围:测试目标的范围、ip、域名、内外网、测试账户。l 确定规则:能渗透到什么程度,所需要的时间、能否修改上传、能否提权、等等。l 确定需求:web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。l 方式:主动扫描,开放搜索等。l 开放搜索:利用搜索引擎获得:后台、未授权页面、敏感url、等等。l 基础信息:IP
渗透测试方法,以及一般流程
Cairo_A的博客
06-08 491
渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!
渗透测试概述与流程
weixin_59872639的博客
01-12 1万+
渗透测试概述 渗透测试是一通过模拟攻击的技术与方法,挫败目标系统的安全控制措施并获得控制访问权的安全测试方法。 网络渗透测试主要依据CVE已经发现的安全漏洞,模拟入侵者的攻击方法对网站应用、服务器系统和网络设备进行非破坏性质的攻击性测试。 CVE CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 渗透测试的目的 侵入系统获取机密信息,并将入侵的过程和细节产生报告提供给用户,由此确定用户系统存在的安全威胁,并能提醒安全管理员完善安全策略,降低安全风
渗透测试流程包括_渗透测试包含哪些内容
weixin_57543652的博客
03-11 318
阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;4、持续性存在:一般我们对客户做渗透不需要,但真实的环境中,我们会做rookit、后门,添加管理账号。3、整理漏洞信息:整理渗透过程中遇到的各漏洞,各脆弱的位置信息。1、确定范围:规划测试目标的范围,以至于不会出现越界的情况。1、精准打击:准备好上一步探测到的漏洞的exp,用来精准打击。1、整理渗透工具:整理渗透过程中用到的代码,poc、exp等。3、应用信息:各端口的应用,例如web应用、邮件应用等等。
安全测试方法
千寻的博客
10-02 1369
安全测试方法论 开放式Web 应用程序安全项目(Open Web Application Security Project,OWASP) 通用缺陷列表(Common Weakness Enumeration,CWE) 通用漏洞与披露(Common Vulnerabilities and Exposures,CVE) 其他方法论 OWAPS [网站](http://www.owasp.org.cn/...
信息安全技术(一)渗透攻击
m0_73736174的博客
05-27 1867
Metasploit是一款开源安全漏洞检测工具,附带数百个已知的软件漏洞,并保持频繁更新。被安全社区冠以“可以黑掉整个宇宙”之名的强大渗透测试框架介绍:客户端攻击总是一个有趣的话题,并成为今日攻击者的主要攻击目标。随着网络管理员和软件开发人员加强周边环境,测试人员需要找到一方法让受害者为他们进入网络打开大门。客户端攻击需要用户交互,例如诱使用户点击链接,打开文档或以某方式进入恶意网站。
渗透测试常用方法总结
热门推荐
MzHeader的博客
06-19 1万+
1 渗透流程 信息收集 漏洞验证/漏洞攻击 提权,权限维持 日志清理 其他 1 信息收集 一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎 端口扫描 有授权的情况下直接使用 nmap 、msscan 、自己写py脚本等端口扫描工具直接获取开放的端口和获取服务端的 banner 信息。 使用 Python 端口扫描的介绍 https://thief.one/2018/05/17/1...
有哪些方法可以用来测试原位渗透率?
02-07
常见的原位渗透率测试方法包括: 1. 原位渗透压力测试:通过在油田开采前后,在井口施加压力并记录压力变化来测量油层渗透率。 2. 原位渗透率测试试井:在井口施加压力并观察油层中液体的流动情况来测量渗透率。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方班网络安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值