渗透测试流程

前渗透阶段

  • 信息搜集
  • 漏洞扫描

渗透阶段

  • 漏洞利用

    • OWASP Top 10
    • web安全漏洞
    • 中间件漏洞
    • 系统漏洞
  • 权限提升
    • Windows/Linux
    • 第三方
    • 数据库
    • 番外:处理WAF拦截

后渗透阶段

  • 内网渗透

    • 内网反弹(端口转发、端口复用)
    • 域渗透
  • 权限维持
    • 系统后门(Window/Linux)
    • web后门(webshell、一句话木马)
  • 痕迹清除
    • 系统日志
    • web日志(IIS、Apache)

原文地址:https://www.cnblogs.com/xiaozi/p/8406044.html

时间: 2024-08-14 02:15:01

渗透测试流程的相关文章

『安全科普』WEB安全之渗透测试流程

熟悉渗透流程,攻击会像摆积木一样简单! 第一步:信息收集 收集网站信息对渗透测试非常重要,收集到的信息往往会让你在渗透中获得意外惊喜. 1. 网站结构 可以使用扫描工具扫描目录,主要扫出网站管理员入口,一些敏感文件(.mdb,.excel,.word) 判断系统使用何种语言编写(PHP,JSP,ASP),根据语言不同,后续测试可以使用不同技巧 判断是否存在子系统,渗透子系统同样也是一种手法. 2. 爬行网站的目录 使用爬行工具爬行目录,结合目录扫描工具再次扫描 在这里爬行工具利用爬虫抓去网页中存

渗透测试流程概述

0x01????信息搜集 人力资源情报 如企业普通员工信息,管理员信息,邮箱,姓名,常用用户名和密码等 企业位置信息搜集 可通过位置确定真实IP,可用于WIFI渗透 IP及域名信息搜集 确定渗透测试范围 第三方资源搜集 云服务,ISP,网站宿主信息 服务器开放端口信息 端口提供的服务,及版本信息 服务器/员工个人电脑操作系统信息 服务器提供的Web服务信息 Web服务使用的CMS和版本信息 开发使用的语言,语言版本 网站路径信息 是否有信息泄露 防御机制的识别 渗透测试目标曾曝光的漏洞信息 Gi

Metasploit 渗透测试魔鬼训练营读书笔记(连续更新一)

1.1 什么是渗透测试 1.1.1 渗透测试的起源与定义 如果大家对军事感兴趣,会知道各国军队每年都会组织一些军事演习来锻炼军队的攻防战术与作战能力.在信息科技的发源地--美国的军事演习中,将美军称为"蓝军",将假想敌称为"红军",而这种军事演习的方式也在20世纪90年代时,由美国军方与国家安全局引入到对信息网络与信息安全基础设施的实际攻防测试过程中.由一群受过职业训练的安全专家作为"红队"(Red Team),对接受测试的防御方"蓝队

网站渗透测试原理及详细过程

网站渗透测试原理及详细过程 渗透测试(Penetration Testing)目录 零.前言一.简介二.制定实施方案三.具体操作过程四.生成报告五.测试过程中的风险及规避参考资料FAQ集 零.前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为. 这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hacking),因此我们这里的所有读者应当都是Ethical Hackers,如果您还不是,那么我希望您到过这里后会成为他们中的

Kali Linux Web 渗透测试— 第十二课-websploit

Kali Linux Web 渗透测试— 第十二课-websploit 文/玄魂 目录 Kali Linux Web 渗透测试— 第十二课-websploit............................................... 1 Websploit 简介........................................................................................... 2 主要功能...........

KALI LINUX WEB 渗透测试视频教程—第十九课-METASPLOIT基础

原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础...................... 1 metasploit..................................................................................................... 1 基本体系结构..........

Metasploit渗透测试魔鬼训练营

首本中文原创Metasploit渗透测试著作,国内信息安全领域布道者和资深Metasploit渗透测试专家领衔撰写,极具权威性.以实践为导向,既详细讲解了Metasploit渗透测试的技术.流程.方法和技巧,又深刻阐释了渗透测试平台背后蕴含的思想. 本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的资深Metasploit渗透测试专家领衔撰写.内容系统.广泛.有深度,不仅详细讲解了Metasploit渗透测试的技术.流程.方法和技巧,而且深刻揭示了渗透测试平台背后蕴含的思

《metasploit渗透测试魔鬼训练营》学习笔记第四章—web应用渗透

继续来学习metasploit...记好笔记是很重要的,下面开始正文: 二.WEB应用渗透技术 1.WEB应用渗透基础知识 先介绍WEB应用攻击的主要类型(大致介绍,具体请自行查询) Sql注入攻击:大致分为 普通注入和盲注 跨站脚本(XSS): 分为存储型XSS,反射性XSS以及DOM型XSS 跨站伪造请求(CSRF):以XSS方式注入一段脚本,受害者点击该脚本时,脚本伪造受害者发出请求. 会话认证管理缺陷:验证身份的功能存在缺陷. 安全误配置:开发和管理人员的失误导致存在漏洞. 不安全密码存

Kali linux渗透测试的艺术 思维导图

Kali Linux是一个全面的渗透测试平台,其自带的高级工具可以用来识别.检测和利用目标网络中未被发现的漏洞.借助于Kali Linux,你可以根据已定义的业务目标和预定的测试计划,应用合适的测试方法论,从而达到预期的渗透测试结果.本书采用循序渐进的方法讲解了前沿的黑客工具和技术,有助于提高读者的渗透测试实用技巧.本书提供了所有必需的实验准备和测试流程,旨在从业务的角度反映真实世界中的攻击场景.   本书内容:通过安装.配置.运行和升级核心系统组件来设置Kali Linux的测试环境:执行正规