渗透测试方法论

通用渗透测试框架

  1. 范围界定

    1. 测试对象
    2. 测试方法
    3. 测试过程中需满足的条件
    4. 限制测试过程的因素
    5. 测试周期
    6. 测试目标

  2. 信息搜集

    1. dns服务器,路由关系,whois,数据库,电子邮件地址,电话号码,个人信息,用户账户

  3. 目标识别

    1. 识别网络状态

    2. 操作系统

    3. 网络架构

      (识别设备)

  4. 服务枚举

    1. 开放的端口(端口扫描)

  5. 漏洞映射

    1. 查找已知和未知的漏洞(漏洞扫描)

  6. 社会工程学

    1. 伪装成网络管理员
    2. 钓鱼邮件

  7. 漏洞利用

    1. 控制目标系统

  8. 权限提升

    1. 从普通用户提权到管理员账户

  9. 访问维护

    1. 后门程序

  10. 文档报告

    1. 形成报告
    2. 提出修复方案

简化渗透测试流程

  • 明确目标

    • 确定范围|确定规则|确定需求
  • 信息收集
    • 基础信息|系统信息|应用信息|人员信息|防护信息
  • 漏洞探测
    • 系统漏洞|web服务漏洞|web应用漏洞|其他端口|通信安全
  • 漏洞验证
    • 手工验证|工具验证|实验验证
  • 漏洞利用
    • 定制EXP|防御绕过|进一步渗透|清理痕迹
  • 形成报告
    • 整理结果|补充介绍|修复建议

网络安全笔记-99-渗透-渗透测试方法论相关推荐

  1. 《网络安全工程师笔记》 第十四章:渗透简单测试流程

    注:本笔记来自温晓飞老师的网络安全课程 第十四章:渗透简单测试流程 第一章:虚拟化架构与系统部署 第二章:IP地址详解 第三章:进制转换 第四章:DOS基本命令与批处理 第五章:用户与组管理 第六章: ...

  2. 网络安全学习(渗透测试方法论,web架构安全分析,信息收集)

    目录 一.渗透测试方法论 渗透测试种类 *黑盒测试 *白盒测试 *脆弱性评估与渗透测试 二.安全测试方法论 *开放式 Web 应用程序安全项目(Open Web Aplication Security ...

  3. 《Kali Linux渗透测试的艺术》—第2章2.3节安全测试方法论

    本节书摘来自异步社区<Kali Linux渗透测试的艺术>一书中的第2章2.3节安全测试方法论,作者[英]Lee Allen , [印尼]Tedi Heriyanto , [英]Shake ...

  4. 渗透测试 --- 方法论

    渗透测试(penetration testing,pentest)是实施安全评估(即审计)的具体手段.方法论是在制定.实施信息安全审计方案时,需要遵循的规则.惯例和过程.人们在评估网络.应用.系统或三 ...

  5. Web安全第 01 讲:渗透测试方法论

    一.Web工作机制 1.1.浏览网站经历的过程 本地缓存 --> host --> IP/ARP --> DNS --> IP --> 网关--> 路由--> ...

  6. 转载:渗透测试方法论(阅读)

    https://www.cnblogs.com/Sumarua/p/13521405.html @ 目录 第2章 渗透测试方法论 2.1 渗透测试的种类 2.1.1 黑盒测试 2.1.2 白盒测试 2 ...

  7. 【CyberSecurityLearning 51】渗透测试方法论+渗透测试流程

    目录 渗透测试方法论 渗透测试(penetration testing,pentest) 渗透测试种类 * 黑盒测试 * 白盒测试 * 脆弱性评估与渗透测试 安全测试方法论 * 开放式web 应用程序 ...

  8. 渗透测试的理论部分1——渗透测试方法论

    有很多朋友可能会像我一样最开始学渗透就去网上找很多实践方面的教程来看,最后弄得自己一头雾水,到了真正实战的时候又不知道从何下手,在这里本人将<kali linux渗透测试指南>学习到的东西 ...

  9. 3测试原理_用压差法气体渗透仪测试PE保鲜膜的氧气阻隔性能

    用压差法气体渗透仪测试PE保鲜膜的氧气阻隔性能 保鲜膜是人们用于保鲜食品的塑料包装制品,可伴随微波炉食物加热.存放食物至冰箱,因此要求其对氧气的透过性较高.国内有关软塑包装材料的氧气透过率的测试方法主 ...

  10. dSploit—Android网络渗透套件测试小记(含视频)

    dSploit-Android网络渗透套件测试小记(含视频) \ dSploit是什么? dSploit是Android系统下的网络分析和渗透套件,其目的是面向IT安全专家和爱好者提供最完整.最先进的 ...

最新文章

  1. 朱俊彦团队最新论文:用GAN监督学习给左晃右晃的猫狗加表情,很丝滑很贴合...
  2. 关键字static、const、volatile的作用
  3. ubuntu(linux)下安装openCV(ffmpeg导致的编译不通过的解决办法)
  4. [deviceone开发]-数据绑定示例
  5. Python学习笔记——基础篇【第六周】——hashlib模块
  6. mysql 重命名索引_mysql增删改字段,重命名替换字段
  7. Aspect的简单方法拦截
  8. 斯坦福 CS183 YC 创业课系列中文笔记
  9. php安装xmlwriter遇到报错及解决方法
  10. Python安装详细步骤
  11. 吴恩达教授机器学习笔记【一】- 线性回归(2)
  12. 设置数据库及表的默认字符集
  13. apache安装、配置虚拟主机、配置日志
  14. SpringMVC jdbcTemplate中queryForObject以及queryForList返回映射实体使用
  15. 全自动电音基调查询助手软件下载完美支持32_64bit系统所有电音插件。
  16. 感谢周易算命大师元真先生
  17. 常用排序:冒泡排序与快速排序详解,看完这篇就够了!风马博客
  18. 学习记录:调用TFTLCD液晶屏
  19. Java中多继承的实现
  20. NULL Pointer Dereference(转)

热门文章

  1. Android 自定义锁屏 监听系统消息推送
  2. Educational Codeforces Round 47 (Rated for Div. 2) ---- C Annoying Present
  3. CSS指北——浮动(Floating)规则详解
  4. 计算机组成原理——中央处理器-异常和中断机制(课程笔记)
  5. 深入浅出matplotlib(9):知道两点坐标画直线
  6. Laravel 使用Dingo API
  7. 【数据分析可视化】股票市场分析实战之风险分析
  8. 搭载网站的云服务器需要空间备案,网站空间要备案吗
  9. 红米note3android5.0,小米红米note3MOSBeta5.0安卓8.1.0来去电归属农历等本地化增强适配...
  10. eMMC和UFS的容量