渗透测试流程

原创 已于 2022-02-10 12:58:03 修改 · 3.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试

于 2022-02-10 09:02:22 首次发布
本文详细介绍了渗透测试的流程,从前期准备包括需求收集和测试程度确定,到情报搜集使用各类扫描工具,再到漏洞分析和验证,最后实施渗透攻击与后渗透操作。涵盖操作系统、Web应用、数据库等多个层面的安全检测。

一、前期准备
1.需求收集
操作系统漏洞?
web应用漏洞?
业务逻辑漏洞?
人员权限漏洞?
数据库漏洞?
2.渗透程度确定(找到漏洞算成功?还是继续攻击?)
3.确定测试时间
4.测试对象类型
内网/外网
网络设备:防火墙/负载均衡/是否影响测试结果的设备
web应用程序
无线网络
是否可以进行ddos 攻击,压力测试
二、情报搜集
1.基础信息:IP、端口、网断、域名
2.系统信息:操作系统版本
3.应用系统:各端口的应用
4.应用系统版本
主动扫描工具:nmap appscan nessus xscan masscan sqlmap
被动扫描工具:fiddler burpsuite
三、漏洞分析
1.挖掘渗透代码资源
搜索引擎
exploit-db.com:攻击
github.com
cvedetails.com:漏洞编号,漏洞级别
2.漏洞详细分析
精准攻击:检测到的漏洞用exp进行攻击
绕过防御机制:防火墙
定制攻击路径
绕过检测机制
准备攻击代码
3.漏洞验证
自动化验证
手工验证
实验验证
登录验证
4.渗透攻击
5.后渗透攻击

渗透测试流程与内网渗透测试实战
悦分享
07-15 8384
关于免杀,我使用的全部是msf的编码自免杀,64位使用的是x64/zutto_dekiru,32位使用的是x86/shikata_ga_nai,360都没有拦截。虽然靶机中有360,但是我直接上传的mimikatz也没有被杀,所以我有些怀疑是360的版本比较低,除了web服务器上传的第一个payload,其它都进行了编码处理,而第一个也确实没有执行成功,这说明360至少对第一个payload是拦截了的。
【安全】一次渗透测试完整流程
Z_David_Z的博客
01-13 2141
渗透测试完整流程前言渗透测试与入侵的最大区别常规渗透测试流程0x01 明确目标0x02 信息收集0x03 漏洞探测0x04 漏洞验证0x05 信息分析0x06 获取所需0x07 信息整理0x08 形成报告思维导图 前言 ==WEB安全渗透测试不是随便拿个工具扫一下就可以做的,要了解业务还需要给出解决方案。 == 渗透测试与入侵的最大区别 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。 入侵:不择手段地(甚至具有破坏性的)拿到系统权限。 常规渗透测试流程 明确目标—>信息收集—>漏
渗透测试流程简述
2301_77732591的博客
04-27 2231
渗透测试分为和黑盒测试,我们只知道该网站的URLNmap:一款功能强大的网络扫描和主机检测工具,可以用于收集信息、枚举、漏洞探测和安全扫描。Wireshark:一款抓包和分析网络流量的工具,可以用于监控和调试网络通信。Goby:一款新型的漏洞扫描平台,可以快速发现并利用各种漏洞,还可以联动其他工具如Xray和MSF。22——>ssh弱口令80——>HTTP服务873——>rsync 未授权访问漏洞3306——>mysql弱口令6379——>redis未授权访问漏洞。
渗透测试八个步骤【渗透测试流程
公众号【伤心的辣条】资料领取~
04-24 4089
渗透测试遵循软件测试的基本流程,但由于其测试过程与目标的特殊性,在具体实现步骤上渗透测试与常见软件测试并不相同。渗透测试流程主要包括8个步骤,如下图所示: 下面结合上图介绍每一个步骤所要完成的任务。 (1 )明确目标 当测试人员拿到需要做渗透测试的项目时,首先确定测试需求,如测试是针对业务逻辑漏洞,还是针对人员管理权限漏洞等;然后确定客户要求渗透测试的范围,如IP段、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破.
渗透测试的八个步骤
178技术
10-12 9769
什么是渗透测试? 其实很多安全漏洞都属于Web应用漏洞,这些Web漏洞可以通过渗透测试验证。渗透测试是利用模拟黑客攻击的方式,评估计算机网络系统安全性能的一种方法。这个过程是站在攻击者角度对系统的任何弱点、技术缺陷或漏洞进行主动分析,并且有条件地主动利用安全漏洞。 渗透测试并没有严格的分类方法,即使在软件开发生命周期中,也包含了渗透测试的环节,但是根据实际应用,普遍认为渗透测试分为黑盒测试、白盒测试2类,其中黑盒测试中,渗透者完全处于对系统一无所知的状态,而白盒测试与黑盒测试恰恰相反,渗透者在完全了解程序
渗透测试流程图-PTES渗透测试执行标准
09-07
以下是渗透测试流程的相关知识点: 1. 测试前准备:在开始渗透测试之前,需要与客户进行前期交互,明确测试范围,包括确定IP地址、域名、云服务和第三方资源。此外,还需要定义测试时间表、额外技术支持的时长,并...
渗透测试流程图.zip
04-06
这份"渗透测试流程图.zip"文件包含了详细的渗透测试过程,主要目的是帮助IT专业人士和安全工程师理解并实施这一过程。其中的"渗透测试流程图.pdf"很可能是以图形化的方式详细展示了每个阶段及其相互关系。 渗透测试...
精选资源
渗透测试流程(PTES)思维导图
08-02
该思维导图主要针对信息安全从业者撰写的渗透流程总结而来,其中的部分专业术语的翻译可能存在偏差,希望能够及时指导。部分安全策略及攻击方法都有相对应的解释,如还有部分专业术语需要本人解释的话,请私聊我。该...
渗透测试定义+渗透测试的八个步骤
m0_48907714的博客
12-30 4990
渗透测试:就是利用我们所掌握的渗透知识,对网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵! 渗透测试分为 白盒测试 和 黑盒测试 白盒测试就是在知道目标网站源码和其他一些信息的情况下对其进行渗透,有点类似于代码分析 黑盒测试就是只告诉我们这个网站的url,其他什么都不告诉,然后让你去渗透,模拟黑客对网站的渗透 渗透测试步骤 明确目标 确定测试的范围,如:IP、域名、内外网、整站or部分
渗透测试基本流程
weixin_52790143的博客
05-21 2万+
1 渗透测试基本流程   渗透测试的基本流程主要分为以下几步:   1. 明确目标   2. 信息收集   3. 漏洞探测(挖掘)   4. 漏洞验证(利用)   5. 提升权限   6. 清除痕迹   7. 事后信息分析   8. 编写渗透测试报告 1.1 明确目标   主要是确定需要渗透资产范围; 确定规则,如怎么去渗透; 确定需求,如客户需要达到一个什么样的效果。 1.2 信息收集   信息收集阶段主要是收集一些基础信息,系统信息,应用信息,版本信息,服务信息,人员信息以及相关防护信息。   信息收
渗透测试的8个步骤
xj28555的博客
06-19 2756
渗透测试与入侵的区别 渗透测试:以安全为基本原则,通过攻击者以及防御者的角度去分析目标所存在的安全隐患以及脆弱性,以保护系统安全为最终目标。 入侵:通过各种方法,甚至破坏性的操作,来获取系统权限以及各种敏感信息。 一般渗透测试流程 1. 明确目标 l 确定范围:测试目标的范围、ip、域名、内外网、测试账户。 l 确定规则:能渗透到什么程度,所需要的时间、能否修改上传、能否提权、等等。 l 确定需求:web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。 2. 信息收集...
渗透测试的8个步骤—转载
热门推荐
花米徐xl_lx的专栏
10-31 6万+
渗透测试的8个步骤 展现一次完整的渗透测试过程及思路 发布时间:2017年10月25日 15:11    浏览量:1104  渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说 渗透测试 的流程渗透测试相关概念。 渗透测试流程 渗透测试与入侵的最大区别 渗透测
渗透测试的8个步骤 展现一次完整的渗透测试过程及思路
weixin_46523520的博客
06-20 4245
渗透测试这个事情不是随便拿个工具就可以做了,要了解业务还需要给出解决方案。之前安全加介绍了金融行业 实战微信银行渗透测试,运行商 渗透测试,今天让我们来说说 渗透测试流程渗透测试相关概念。 渗透测试流程 渗透测试与入侵的最大区别 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。 入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。 一般渗透测试流程 流程并非万能,只是一个工具。思考与流程并用,结合自己经验。 流程并非万能,只是一个工具。思考与流程并用,结合自己经验。 2.1 明确目标.
渗透测试流程——渗透测试的9个步骤(转)
橘子女侠
05-09 2万+
渗透测试流程: 1.明确目标 2.分析风险,获得授权 3.信息收集 4.漏洞探测(手动&自动) 5.漏洞验证 6.信息分析 7.利用漏洞,获取数据 8.信息整理 9.形成报告 1.明确目标 1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块; 2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权... 目标系统介绍、重...
渗透测试基础-1】渗透测试方法论及渗透测试流程
m0_64378913的博客
04-12 4977
目录1 渗透测试方法论1.1 渗透测试方法论的定义1.2 渗透测试的种类1.2.1 黑盒测试1.2.2 白盒测试1.3 脆弱性评估与渗透测试2 安全测试方法论3 渗透测试流程3.1 渗透测试执行标准PTES3.2 通用渗透测试框架3.2.1 范围界定3.2.2 信息搜集3.2.3 目标识别3.2.4 服务枚举3.2.5 漏洞映射3.2.6 社会工程学3.2.7 漏洞利用3.2.8 权限提升3.2.9 访问维护3.2.10 文档报告3.3 简化渗透测试流程4 归
深度解析渗透测试流程图及其应用
资源摘要信息:"渗透测试流程图" 渗透测试是一种安全测试方法,它涉及模拟攻击者的角色来发现计算机系统、网络或Web应用中的安全漏洞。渗透测试的目的是评估目标系统的安全措施和防御能力,并确定潜在的安全威胁和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姑娘别秃头

你的鼓励是为我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值