滲透測試什麼?滲透測試具體操作流程是什麼
滲透測試,是為了證明網路防禦按照預期計劃正常執行而提供的一種機制,也是一種測試應用程式、網路和計算機系統的方法,用於識別可能被利用的安全漏洞,防止未經授權的訪問、更改和利用系統。那麼滲透測試步驟包含什麼?以下是詳細的內容介紹。
滲透測試一定要遵循軟體測試基本流程,要知道測試過程和目標特殊,在具體實施步驟上主要包含以下幾步:
1、明確目標
當測試人員拿到需要做滲透測試的專案時,首先確定測試需求,如測試是針對業務邏輯漏洞,還是針對人員管理許可權漏洞等;然後確定客戶要求滲透測試的範圍,如ip段、域名、整站滲透或者部分模組滲透等;最後確定滲透測試規則,如能夠滲透到什麼程度,是確定漏洞為止還是繼續利用漏洞進行更進一步的測試,是否允許破壞資料、是否能夠提升許可權等。
2、收集資訊
在資訊收集階段要儘量收集關於專案軟體的各種資訊。比如:對於一個Web應用程式,要收集指令碼型別、伺服器型別、資料庫型別以及專案所用到的框架、開源軟體等。資訊收集對於滲透測試來說非常重要,只要掌握目標程式足夠多的資訊,才能更好地進行漏洞檢測。
資訊收集的方式可分為以下2種:主動收集、被動收集。
3、掃描漏洞
在這個階段,綜合分析收集到的資訊,藉助掃描工具對目標程式進行掃描,查詢存在的安全漏洞。
4、驗證漏洞
在掃描漏洞階段,測試人員會得到很多關於目標程式的安全漏洞,但這些漏洞有誤報,需要測試人員結合實際情況,搭建模擬測試環境對這些安全漏洞進行驗證。被確認的安全漏洞才能被利用執行攻擊。
5、分析資訊
經過驗證的安全漏洞就可以被利用起來向目標程式發起攻擊,但是不同的安全漏洞,攻擊機制不同,針對不同的安全漏洞需要進一步分析,制定一個詳細的攻擊計劃,這樣才能保證測試順利執行。
6、滲透攻擊
滲透攻擊實際是對目標程式進行的真正攻擊,為了達到測試的目的,像是獲取使用者賬號密碼、擷取目標程式傳輸資料等。滲透測試是一次性測試,在攻擊完成後能夠執行清理工作。
7、整理資訊
滲透攻擊完成後,整理攻擊所獲得的資訊,為後邊編寫測試報告提供依據。
8、編寫報告
測試完成之後要編寫報告,闡述專案安全測試目標、資訊收集方式、漏洞掃描工具以及漏洞情況、攻擊計劃、實際攻擊結果等。此外,還要對目標程式存在的漏洞進行分析,提供安全有效的解決辦法。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2885213/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 什麼是滲透測試?為什麼要做滲透測試?
- 什麼是滲透測試?滲透測試分類方式有哪些?
- 什麼是滲透測試?滲透測試分為哪幾類?
- 什麼是滲透測試?滲透測試培訓班如何選擇?
- 什麼是滲透測試?滲透測試的服務方式有哪些?
- 什麼是滲透測試?網站有必要進行滲透測試嗎?網站
- 滲透測試是什麼?滲透測試三種分類主要包括哪些?
- 滲透測試的目的是什麼?滲透測試可以給企業帶來什麼好處?
- 什麼是滲透測試?與安全測試的區別是什麼?
- 什麼是網路滲透測試?網路滲透測試分為幾種型別?型別
- web安全滲透測試是什麼意思?有什麼作用?Web
- 什麼是滲透測試和安全測試,有何區別?
- 為什麼滲透測試很重要?滲透測試的服務方式有幾種?
- web滲透的測試流程是什麼?網路與資訊保安Web
- 滲透測試怎麼做?滲透測試的步驟有哪些?
- 滲透測試容易學嗎?需要懂什麼?
- 【網路安全】軟體測試和滲透測試有什麼區別?
- 滲透測試會用到哪些工具?滲透測試教程
- 滲透測試工程師學多久?崗位職責是什麼?工程師
- 什麼是網站滲透測試報告 模板教學篇網站測試報告
- 滲透測試與漏洞掃描有什麼區別?
- Linux滲透測試Linux
- 滲透測試工具Burpsuite操作教程UI
- 網路安全的五大基本特性是什麼?滲透測試學什麼?
- 滲透測試工程師主要工作是什麼?發展方向有哪些?工程師
- 滲透測試可以解決哪些問題?服務方式是什麼?
- 你真的瞭解“滲透測試”嗎?滲透測試有何作用?
- 一般滲透測試的流程步驟是什麼?網路安全難學不?
- 滲透測試報告測試報告
- 滲透測試之nmap
- 【滲透測試】Vulnhub DarkHole
- 滲透測試和漏洞掃描是什麼?兩者有何區別?
- 網路安全滲透測試的型別!滲透測試入門教程型別
- metasploit滲透測試筆記(內網滲透篇)筆記內網
- “滲透測試”與“紅藍對抗”有什麼不同之處?
- 滲透測試需要需要學什麼?資訊收集工具之Nmap
- 什麼是網站系統安全的滲透檢測?網站
- 外部網路滲透測試是什麼意思?網路安全基礎入門