渗透测试分类

  • 黑盒测试:从远程网络位置来评估目标网络基础设施,没有任何相关信息

  • 白盒测试:内部发起,了解到关于目标环境的所有内部与底层知识

  • 灰盒测试:结合两者优势,根据对目标系统所掌握的有限知识与信息,来选择评估整体安全性的最佳途径

测试方法

  • OSSTMM安全测试方法学开源手册

  • NISTSP800-42网络安全测试指南

  • OWASP十大Web应用安全威胁项目

  • WASC威胁分类标准(WASC-TC)

  • PTES渗透测试执行标准

渗透过程环节

  • 前期交互•  确定渗透测试的范围、目标、限制条件以及服务合同细节

在前期交互(Pre-Engagement Interaction)阶段,渗透测试团队与客户组织进行交互讨论,最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。
该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标项目管理与规划等活动。

  • 情报搜集•  获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息

在目标范围确定之后,将进入情报搜集 (Information Gathering)阶段,渗透测试团队可以利用各种信息来源与搜集技术方法,尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。
渗透测试者可以使用的情报搜集方法包括公开来源信息查询、Google Hacking、社会工程学、网络踩点、扫描探测、被动监听、服务查点等。而对目标系统的情报探查能力是渗透测试者一项非常重要的技能,情报搜集是否充分在很大程度上

渗透测试流程方法工具详情相关推荐

  1. 简单学习kali高级渗透测试思路方法

    前言 KaliLinux面向专业的渗透测试和安全审计,集成了大量精心挑选的安全检测工具.Kali Linux高级渗透测试在KaliLinux平台上从一个攻击者的角度来审视网络框架,详细介绍了攻击者&q ...

  2. 【CyberSecurityLearning 51】渗透测试方法论+渗透测试流程

    目录 渗透测试方法论 渗透测试(penetration testing,pentest) 渗透测试种类 * 黑盒测试 * 白盒测试 * 脆弱性评估与渗透测试 安全测试方法论 * 开放式web 应用程序 ...

  3. 渗透测试入门17之一次完整的渗透测试流程

    一次完整的渗透测试流程 目录 渗透测试 信息收集 漏洞探测 漏洞利用 内网转发 内网渗透 痕迹清除 撰写渗透测试保告 渗透测试 渗透测试就是利用我们所掌握的渗透知识,对一个网站进行一步一步的渗透,发现 ...

  4. 渗透测试流程(基础理论)

    当时考nisp二级时所学的理论,记录下来复习使用. 渗透测试流程 1.专用术语介绍 ​ 1.脚本(asp.php.jsp) ​ 2.html (css.js.html) ​ 3.HTTP协议 ​ 4. ...

  5. 通用渗透测试框架、简化渗透测试流程

    文章目录 通用渗透测试框架 简化的渗透测试流程 黑客攻击的一般过程 通用渗透测试框架 从技术管理的角度来看,遵循正规的测试框架对安全测试极为重要.通用渗透测试框架涵盖了典型的审计测试工作和渗透测试工作 ...

  6. 渗透测试流程及方法论讲解(web安全入门04)

    一.渗透测试方法论 1.1 渗透测试(penetration testing,pentest) 是实施安全评估(即审计)的具体手段. 方法论是在制定.实施信息安全审计方案时,需要遵循的规则.惯例和过程 ...

  7. 渗透测试流程/拿站顺序

    渗透测试流程: 1,信息收集: 1.获取域名的whois信息(http://whatweb.bugscaner.com/look/等方法),获取注册者邮箱姓名电话等:已邮箱作为关键字进行丢进搜索引擎. ...

  8. 渗透测试流程信息收集

    渗透测试是一种评估方法,一种通过模拟黑客的攻击方式,来评估网站安全的方法 渗透测试流程分为7个阶段 信息收集 漏洞扫描 漏洞利用 内网转发 内网渗透 痕迹清除 编写报告 但在这7个阶段之前还有一个前提 ...

  9. 渗透测试八个步骤【渗透测试流程】

    渗透测试遵循软件测试的基本流程,但由于其测试过程与目标的特殊性,在具体实现步骤上渗透测试与常见软件测试并不相同.渗透测试流程主要包括8个步骤,如下图所示: 下面结合上图介绍每一个步骤所要完成的任务. ...

最新文章

  1. 总是感觉时间不够用?程序员如何管理时间?
  2. 原生 Java 客户端进行消息通信
  3. fastreport.net 交叉表居中显示_浅析Sql中内连接、外连接、全连接、交叉连接的区别...
  4. 土人系列AS入门教程--实战篇
  5. 由一个小库存软件想到的
  6. 六. 异常处理7.throw:异常的抛出
  7. 决策树有框架吗_决策框架
  8. java获取大乐透开奖_java生成大乐透中奖号码
  9. linux防火墙 限制流量,linux – iptables和阻止可能不可能的流量
  10. Chrome浏览器扩展:bilibili哔哩哔哩视频下载助手 2.1.5_0
  11. 计算机存储器如何工作原理,存储器的工作原理
  12. Java java.sql.SQLSyntaxErrorException:Duplicate column name ‘xxx‘问题解决
  13. SQL注入:SQL注入类型(手动)SQL注入的检测
  14. 企业被抽到高新现场审查怎么办?深科信教你做好这些准备
  15. Html5---div布局方式
  16. 单词游戏: hangman
  17. HITCSAPP大作业 2021 春
  18. repo init 与 repo sync 区别
  19. 单片机音频节奏灯_单片机在音乐节奏识别灯效系统中的智能控制
  20. 数据结构(串、数组和广义表)

热门文章

  1. IOS开发系列—Objective-C之内存管理
  2. 坐飞机系安全带的用处
  3. mysql 删除check_数据库中五种check约束添加/删除方法
  4. commvault xtrabackup全实例备份失败 处于未决状态
  5. 哪些些实验适合用计算机实测,计算机实测物理实验2014年讨论内容
  6. Redis和Memcached的区别(数据类型、内存管理、数据持久化、集群管理)
  7. 单词拆分java与填表法_139. 单词拆分
  8. B. Subtract Operation(stl,数学)
  9. adb按键精灵_自动点击器adb版最新版下载|自动点击器adb版安卓版下载 v1.0.5 - 跑跑车安卓网...
  10. 人类早期驯服野生CNN卷积神经网络的情景