【網路安全乾貨分享】滲透測試的完整流程!

老男孩IT教育機構發表於2021-11-18

  相信大家對網路安全中的滲透測試都或多或少聽說過吧,滲透測試對於網路安全來說是十分重要的,簡單來說,就是對網站和伺服器進行安全檢測,專業人員透過模擬不法分子的手段,來檢測我們的網站及伺服器是否存在漏洞,那具體流程是怎樣的呢?請看下文:

  第一步:明確目標

  1. 確定範圍:也就是測試的範圍,如:IP、域名、內外網、整個網站還是部分模組;

  2. 確定規則:滲透到的程式,比如是發現漏洞為止,還是繼續利用漏洞、時間限制、能否修改上傳,能否提權。

  第二步:分析風險,獲得授權

  也就是分析整個滲透測試過程中可能產生的風險,比如大量測試資料的處理、正常業務是否影響、伺服器發生異常應急、資料備份和恢復等;

  第三步:資訊收集

  在此階段,需要專業人士收集儘量多的關於目標Web應用的各種資訊,比如:指令碼語言的型別、伺服器的型別、目錄結構、使用的開源軟體、資料庫型別、所用到的框架、所有連結頁面等。

  第四步:漏洞探測

  此過程可以是手動也可以是自動,利用上一步中所列出的資訊,使用相應的漏洞檢測。

  第五步:漏洞驗證

  將上一步中發現的有可能被利用的漏洞全部驗證一遍,結合實際情況搭建模擬環境進行試驗,成功後再應用到目標中。

  第六步:資訊分析

  即為下一步實施滲透做準備

  精準攻擊:準備好上一步探測到的漏洞exp,用來精準攻擊;

  繞過防禦機制:是否有防火牆等裝置,該如何繞過;

  定製攻擊路徑:最佳攻擊路徑即根據薄弱入口,高內網許可權位置,最終目標。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2842898/,如需轉載,請註明出處,否則將追究法律責任。

相關文章