网络安全渗透测试的流程和方法:首先要明确在整个渗透测试过程中需要进行的事件 。当接收到客户的渗透测试任务时 。基础对于所要进行的目标了解的并不多或者一无所知 。而在渗透结束的时候 。对目标的了解程度已经远远超过客户 。在此期间需要是做非常多的的研究事件 。整个渗透过程合适分为以下阶段 。
文章插图
一、前期与客户的交流阶段1、渗透的目标
确认渗透测试所涉及的IP地址周围和域名周围 。Web应用和无线互联网络 。甚至安保设备都有可能是渗透目标 。同一时间需要明确客户需要的是全面评估还是某一方面或部分评估 。
2、进行渗透测试过程中所使用的方法
黑盒测试-也称外部测试 。
测试人员先期对目标网络的内部结构和所使用的的程序完整不了解 。对网络外部对网络安全进行评估 。需要耗费非常多的时间对目标消息进行获取 。
白盒测试-也称内部测试 。
测试人员一定事先清楚地了解被测目标的内部网结构和技术细节 。相比黑盒测试 。白盒测试的目标是明确认义好的 。
灰盒测试-白盒测试和黑盒测试的混合 。
会了解一大半目标网络消息 。但不会学会网络内部事件原理和压制消息 。
3、进行渗透测试所需要的的条件
如果是白盒测试 。需要客户提供测试必须的消息和权限 。客户最好合适支持问卷查看 。确认渗透时间、如果受到了破坏 怎么样补救 。
4、渗透测试过程中的条件压制
一定明确哪些设备不合适进行渗透测试 。以及哪些技术不合适应用 。另外明确哪些时间点不合适进行渗透测试 。
5、渗透测试过程的周期
客户合适了解渗透测试的开始和结束时间 。以及在每一个时段所进行的事件 。
6、渗透测试的费用
往往一般集团销售会研究 不了解
7、渗透过程中的预期目标
需要客户明确或者说好了在渗透测试结束后达到什么目标 。最终渗透报告大概包含哪些内容 。
二、情报获取阶段情报指的的目标网络、服务器、应用应用程序的全部消息 。
1、被动扫描
往往一般不会被发现 –
2、主动扫描
使用专业工具进行对目标的扫描 。扫描后会获取目标网络结构 。目标网络所使用的设备类别 。主机上运行的操作面板系统、主机开放的全部端口、主机上提供的服务、目标主机上锁运行的应用应用程序等 。
三、威胁建模阶段哪些资产是目标中的重要资产
进攻时选用什么技术和手法
那些群体可能会对目标造成破坏
那些群体会使用什么手法来进行破坏
四、漏洞分析阶段
【网站测试方法有哪些 web测试的基本流程】根据情报获取时发现的目标操作面板系统、开放端口、服务进程 。查找和分析可能存在的问题漏洞
五、漏洞使用阶段
根据发现的可能存在的网址漏洞 进行验证和使用
六、后渗透进攻阶段
1.控制权限的提高
2.登录凭证的窃取
3.重要消息的获取
4.使用目标做跳板
5.简历经常的控制通道
七、报告阶段
漏洞地点、后果、漏洞改写方法、目前网络安全的改进意见
推荐阅读
- 吃什么能让您想起儿时的味道?
- 发型如何搭配脸型?
- 范晓萱好听的歌有哪些 范晓萱最经典的歌
- 西汉建立后,论功行赏时,为什么功劳最大的曹参却位列萧何之后?
- 京东副总裁杜爽去哪了 京东女副总裁在录制节目时告知刘强东自己怀孕了
- 女生怎么根据脸型和五官制定一个适合自己的发型?
- 一个30岁身材、相貌一般的女人,和一个45岁身材、相貌都很好的女人,你们会如何选择?
- 培训总结报告的格式及范文结 年薪120万集团公司培训总监分享
- 去理发店理发师都是怎样判断一个人适合什么样的发型的?