目录
一、项目介绍
几乎每个渗透测试项目都必须遵循一个严格的时间表,主要由客户的需求或开发
交付日期决定。对于渗透测试人员来说,拥有一个能够在短时间内对应用
程序执行大
量测试的工具是非常有用的,这样可以在计划的时间内识别尽可能多的漏洞。自动漏
洞扫描器成为了最佳选择。它们还可以用来寻找开发替代方案,或者确保在渗透测试
中没有留下明显的东西。
Kali Linux 包含几个针对 web 应用程序或特定 web
应用程序漏洞的漏洞扫描器。
在本次实验中,将介绍渗透测试人员和安全专业人员最广泛使用的一些工具。
注意
在自动化扫描之前,需要考虑以下因素:
1
、优先选择测试环境,而不是生产环境。这样如果发生错误,就不会影响到真实的
数据
2
、做好恢复机制,在发生问题时可以恢复数据和代码
3
、定义扫描范围。虽然可以针对整个站点启动扫描,但仍然建议定义工具的配置,
避免扫描应用中脆弱或敏感的部分。
4
、熟悉要使用的工具,可以先花些时间在试验靶场里测试一下工具,了解它们的功
能以及扫描可能造成的影响
5
、保持工具及其模块的更新,使结果与最新的漏洞披露和攻击技术一致
254
6
、启动扫描之前确认扫描范围和参数,确保扫描不超出指定范围
7
、记录全面的扫描过程,大多数工具都自带日志记录和生成报告的功能。
8
、扫描过程中不能无人看管,需要不断检查工作状态,做好造成影响的第一时间反
应
9
、不要依赖单一工具,每个人都有自己喜欢的一款工具,但是需要记住,没有一款
工具能覆盖到所有渗透测试的内容,所以交叉使用工具可以有效避免假阳性和假阴性的概
率
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
