渗透测试简介:
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
渗透测试流程:
测试范围确定->测试时间确定->可接受的测试底线->信息收集->漏洞发现->漏洞利用->后渗透测试->文档编写
PTES标准渗透测试流程:
前期交互阶段->情报收集阶段->威胁建模阶段->漏洞分析阶段->渗透攻击阶段->后渗透攻击阶段->撰写报告阶段
WEB应用渗透测试流程:
洛克希德·马丁定义的“杀伤链”(网络杀伤链):
- 侦查跟踪:攻击者搜寻目标的弱点,具体手段如收集钓鱼攻击用的登陆凭证和信息
- 武器构建:使用漏洞和后门制作一个可以发送武器的载体
- 载荷投递:将网络武器包向目标投递,如发送一封带有恶意链接的欺诈邮件
- 漏洞利用:在受害者的系统上运行利用代码
- 安装植入:在目标位置安装恶意软件
- 命令和控制:为攻击者建立可远程控制目标系统的路径
- 目标达成:攻击者远程完成其预期目标
APT攻击(高级持续性威胁):指的是由攻击者准备的高级攻击行动,这里不包括一般的攻击行为,例如网站挂马、加外链等;任何APT攻击的基本原则包括详细的准备和逐步战略,在这里,我们将APT攻击所设计的阶段的序列(称为杀伤链)。
杀伤链的相关步骤:
侦察阶段->工具选择(武器化阶段)->钓鱼阶段->载荷投递阶段->感染阶段->内网移动阶段->目标行动阶段
网络杀伤链攻击流程:
科来:信息收集->网络入
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
