安全渗透测试日常做什么?

已于 2024-01-11 15:33:41 修改
阅读量164 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 安全 网络 web安全
于 2023-10-14 18:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Spontaneous_0/article/details/133821734

根据具体的工作岗位来定,有可能你的渗透目标就是你就职的企业,那么就不需要出差。如果你就职的岗位是承接别的公司的渗透测试,那么就需要出差到客户现场进行渗透测试。

一般的渗透测试都是不需要加班的,除非从事的岗位比较特殊。下面是渗透测试的基本流程:

1.1 明确目标

主要是确定需要渗透资产范围; 确定规则,如怎么去渗透; 确定需求,如客户需要达到一个什么样的效果。

1.2 信息收集

信息收集阶段主要是收集一些基础信息,系统信息,应用信息,版本信息,服务信息,人员信息以及相关防护信息。
信息收集大多是工具加手工进行收集信息,工具如nmap,相关终端命令,浏览器插件,在线工具等。

1.3 漏洞探测(挖掘)

主要是探测(挖掘)系统漏洞,web服务器漏洞,web应用漏洞以及其他端口服务漏洞,如telnet,ssh,vnc,远程桌面连接服务(3389)等。

1.4 漏洞验证(利用)

漏洞验证主要是利用探测到的漏洞进行攻击,方法主要有自动化验证(msf),手工验证,业务漏洞验证,公开资源的验证等。
总的来说就是工具加手工,为了方便,可以将自己渗透常使用的工具进行封装为工具包。

1.5 提升权限

提升权限主要是在当前用户权限不是管理员的时候需要进行提升权限,提升权限可以是提升系统权限,web应用权限或是数据库权限等。

1.6 清除痕迹

清楚痕迹主要是清除渗透过程中操作的一些痕迹,如添加的测试账号,上传的测试文件等。

1.7 事后信息分析

主要是对整个渗透过程进行信息分析与整理,分析脆弱环节,技术防护情况以及管理方面的情况进行一个现状分析以及提出相关建议。

1.8 编写渗透测试报告

根据渗透测试具体情况编写渗透测试报告,渗透测试报告必须简洁明了,说清楚渗透清单(范围),攻击路径,渗透成果,以及详细的漏洞详情(相关描述、漏洞危害等)及可行的修复建议,最后对整改渗透情况进行简单的总结和分析,说清楚目前资产的一个状况是什么样的,应该从哪些方面进行加强和提升。另外根据渗透测试报告可让第三方相对容易复现成功!

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,

那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

渗透测试工程是的主要工作
weixin_51167520的博客
03-18 2224
一、常见问题 1、甲方客户系统,之前渗透测试,我们要怎么? 深入了解客户系统,进而挖掘深层次漏洞。 2、甲方客户系统,部署WAF,我们要怎么? 首先绕过防火墙进行测试,比如通过内部wifi的手段或者利用工具sqlmap等。客户已有的安全防护,不一定安全,很容易被绕过,所以要进行多种测试。 3、甲方客户系统,采用Ukey登录,还需要渗透吗? Ukey的安全性也需要验证,之前有ukey发送一个验证,然后这个验证可以重复使用的情况。 4、甲方客户系统,网络协议是加密的,抓不到数据包,怎么办? 尝试..
网络渗透测试实验四 CTF实践
qq_50798384的博客
12-07 632
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验步骤和内容: 目的:获取靶机Web Developer 文件/root/flag.txt中fla
渗透测试工程师工作内容是什么?渗透测试入门到精通,收藏这篇就够了
leah126的博客
10-26 1329
可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
渗透测试流程和内容
purpleforest的专栏
06-04 6063
渗透测试是在客户允许下和可控的范围内,采取可控的,不造成较大影响的黑客入侵手法,对网络和系统发起真正攻击。主要包括以下几个层次:Ø        层次一:通讯和服务该层次的安全问题主要体现在TCP/IP网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机、无需口令通过Rlogin以root身份登录到一台主机等,都是利用了TCP/IP协议本身的漏洞。Ø        层次二:操作系
渗透测试报告包括什么内容
sinat_35855737的博客
07-21 1760
原文链接
一款辅助安全研发在日常工作中渗透测试安全研究、安全开发等工作的工具!.zip
11-29
一款辅助安全研发在日常工作中渗透测试安全研究、安全开发等工作的工具!香港工具一款辅助安全研发在日常工作中渗透测试安全研究、安全开发等工作的工具! 程序支持Yaml格式的http请求模版 I’m ExpLang Twitter...
WEB应用安全渗透测试手册
11-08
本文档提供了WEB应用安全渗透测试的详细指南,旨在帮助相关人员通过测试发现并修复安全漏洞,增强WEB应用的安全防护能力。 在WEB应用安全测试中,信息泄漏是最为常见的安全风险。信息泄漏通常包括robots.txt泄漏、...
一款辅助安全研发在日常工作中渗透测试安全研究、安全开发等工作的工具! 程序支持Yaml格式的http请求模版.zip
11-29
一款辅助安全研发在日常工作中渗透测试安全研究、安全开发等工作的工具! 程序支持Yaml格式的http请求模版香港工具一款辅助安全研发在日常工作中渗透测试安全研究、安全开发等工作的工具! 程序支持Yaml格式的...
日常项目渗透测试用,目前很简单 .zip
最新发布
11-29
总结而言,本文所描述的工具是用于简化和加速日常渗透测试流程的辅助性软件,它通过整合burp工具集中的功能,提供自动化的安全测试手段,具有较高的实用性和便捷性。随着网络安全的日益重要,这类工具将越来越受欢迎...
渗透测试报告生成工具
记录开发和安全学习过程中的点点滴滴
06-02 2490
下面介绍两个我常用的报告生成工具,在日常渗透测试过程中,我们在进行合法合规的进行渗透测试后,需要进行编写相应的详细的渗透测试报告来提交给客户或是审核人员,方便审核人员对漏洞进行复现和验证,当然,很多时候我们写的报告很多都是重复性的内容,尤其是相同的漏洞类型,像我自己之前在没有合适的工具之前都是通过手工将一些重复性的内容写好,然后进行替换,当然有了工具就不一样了,可以帮助我们节省很多时间来写报告,毕竟很多时候项目的时候报告交的快慢就是金钱的衡量.
XXXX项目渗透测试工作流程规范
07-18
渗透测试还具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。简单来说渗透测试就是安全评估的一种方法
[网安实践III] 实验1.渗透测试实验
LostUnravel的博客
11-09 6349
网安实践III - 实验1.渗透测试1 你的攻击机IP和靶机IP2 同组同学的姓名,同组同学的靶机msfadmin的密码,root的密码3 你是如何发现漏洞的?请写出发现漏洞的过程4 攻击利用的漏洞,以及攻击的过程。(写到如何获得shadow文件即可)5 获得靶机的shadow文件中msfadmin账号和root账号的内容6 靶机的msfadmin用户的密码,以及破解过程msfadmin密码破解过程7 靶机的root密码,以及破解过程root密码破解过程8 攻击流量包提交 1 你的攻击机IP和靶机IP 攻
网络渗透测试实验四-CTF实践(WebDeveloper靶机渗透)
YatKTm的博客
12-06 4169
文章目录前言实验目的系统环境实验工具实验原理:1、什么是CTF1.1 CTF竞赛模式(1)解题模式(Jeopardy)(2)攻防模式(Attack-Defense)(3)混合模式(Mix)1.2 CTF各大题型简介MISC(安全杂项)PPC(编程类)CRYPTO(密码学)STEGA(隐写)PWN(溢出)WEBweb类)实验步骤和内容:目的基本思路实现过程:1、发现目标 (netdiscover),找到WebDeveloper的IP地址。2、利用NMAP扫描目标主机,发现目标主机端口开放、服务情况,截图并说
渗透测试流程包括_渗透测试包含哪些内容
程序员阿飘 的博客
03-11 500
阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;4、持续性存在:一般我们对客户渗透不需要,但真实的环境中,我们会rookit、后门,添加管理账号。3、整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱的位置信息。1、确定范围:规划测试目标的范围,以至于不会出现越界的情况。1、精准打击:准备好上一步探测到的漏洞的exp,用来精准打击。1、整理渗透工具:整理渗透过程中用到的代码,poc、exp等。3、应用信息:各端口的应用,例如web应用、邮件应用等等。
渗透测试实践(工具使用总结)
weixin_33701564的博客
08-07 436
1、httrack (网站复制机制) 工具下载地址: http://www.httrack.com/ (附网站介绍) Httrack is a progaram that gets information frorm the internet ..looks for pointers to other information, gets that informati...
渗透测试-渗透测试总体流程篇
2302_77482152的博客
06-07 973
文章中涉及的所有内容仅供安全研究与教学之用,用户将其信息其他用途,由用户承担全部法律及连带责任,本文章作者不承担任何法律及连带责任。
渗透测试岗位职责以及能力要求
Spontaneous_0的博客
09-01 906
关于需要学多久这个问题,得根据你的时间投入来看,一般的话,全日制脱产学习网络安全课程需要4个月左右,渗透测试阶段的内容学习大概20天,当然,这些仅供参考,与你的时间分配及学习能力相关,关于网络安全培训的细节,欢迎私~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!1、熟练使用awvs、nessus、metasploit、burpsuite等安全测试工具,并对其原理有一定了解。⑨历年CTF夺旗赛题解析。
从实践中学习Kali Linux渗透测试
热门推荐
qq_54480761的博客
01-15 2万+
目录 第一章 渗透测试概述 第二章 安装Kali Linux系统 第三章 配置Kali Linux 第一章 渗透测试概述 1.1 什么是渗透测试 1.1.1 黑盒测试 黑盒测试(Black-box Testing)也称为外部测试(External Testing)。采用这种方式,测试者将从一个远程网络位置评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息。完全模拟真实网络环境中的外部攻击者,采用流行技术与工具有组织、有步骤的对目标组织进行渗透和入侵,揭示目标网络中一些已知或未知的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值