首页 > 其他分享 >渗透测试的基本流程

渗透测试的基本流程

时间:2022-09-05 22:36:16浏览次数:83  
标签:测试报告 验证 渗透 流程 信息 漏洞 测试 权限

渗透测试的基本流程主要分为以下几步:
  1. 明确目标
  2. 信息收集
  3. 漏洞探测(挖掘)
  4. 漏洞验证(利用)
  5. 提升权限 
  6. 清除痕迹 
  7. 事后信息分析  
  8. 编写渗透测试报告  
1.1 明确目标
  主要是确定需要渗透资产范围; 确定规则,如怎么去渗透; 确定需求,如客户需要达到一个什么样的效果。
1.2 信息收集
  信息收集阶段主要是收集一些基础信息,系统信息,应用信息,版本信息,服务信息,人员信息以及相关防护信息。
  信息收集大多是工具加手工进行收集信息,工具如nmap,相关终端命令,浏览器插件,在线工具等。
1.3 漏洞探测(挖掘)
  主要是探测(挖掘)系统漏洞,web服务器漏洞,web应用漏洞以及其他端口服务漏洞,如telnet,ssh,vnc,远程桌面连接服务(3389)等。
1.4 漏洞验证(利用)
  漏洞验证主要是利用探测到的漏洞进行攻击,方法主要有自动化验证(msf),手工验证,业务漏洞验证,公开资源的验证等。
  总的来说就是工具加手工,为了方便,可以将自己渗透常使用的工具进行封装为工具包。
1.5 提升权限
  提升权限主要是在当前用户权限不是管理员的时候需要进行提升权限,提升权限可以是提升系统权限,web应用权限或是数据库权限等。
1.6 清除痕迹
  清楚痕迹主要是清除渗透过程中操作的一些痕迹,如添加的测试账号,上传的测试文件等。
1.7 事后信息分析
  主要是对整个渗透过程进行信息分析与整理,分析脆弱环节,技术防护情况以及管理方面的情况进行一个现状分析以及提出相关建议。
1.8 编写渗透测试报告
  根据渗透测试具体情况编写渗透测试报告,渗透测试报告必须简洁明了,说清楚渗透清单(范围),攻击路径,渗透成果,以及详细的漏洞详情(相关描述、漏洞危害等)及可行的修复建议,最后对整改渗透情况进行简单的总结和分析,说清楚目前资产的一个状况是什么样的,应该从哪些方面进行加强和提升。另外根据渗透测试报告可让第三方相对容易复现成功!
2 渗透测试相关原则
1.最小影响原则
2.非破坏性原则
3.全面深入原则
4.保密性原则
非原创

标签:测试报告,验证,渗透,流程,信息,漏洞,测试,权限
From: https://www.cnblogs.com/manmanwei/p/16659837.html

相关文章

  • ssm框架搭建流程
    在网上找了很多,自己总结一下,理清思路以后这种模式化的东西就简单多了。首先就是创建一个mavenapp项目,放入tomcat。这个很简单就不再赘述了。然后就是在pom.xml中导入依......
  • 表查询数据准备及测试环境搭建、ORM多表查询
    目录上周内容回顾视图层模块层今日内容详细一、表查询数据准备及测试环境搭建1.django自带一个sqlite3小型数据库2.django切换MySQL数据3.定义模型类4.数据库的迁移命令(模......
  • 性能测试工具JMeter(一)---安装与运行
    JMeter简介1、Apache组织开发的开源免费压测工具2、纯java程序,跨平台性强3、源码可以从网上下载4、高可扩展性5、可对服务器、网络或对象模拟巨大的负载,进行压力测......
  • Junit执行单元测试用例成功,mvn test却失败的解决方法
    解决方法:在pom.xml中添加maven插件<plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-surefire-plugin</artifactId><version>2......
  • Settings 启动流程
    Settings启动流程Settings-->Manifest.xml-->action.MAIN-->SettingsHomepageActivitypublicclassSettingsHomepageActivityextendsFragmentActivity{ @Ov......
  • SystemUI启动流程
    SystemUI启动流程frameworks\base\services\java\com\android\server\SystemServer.javapublicfinalclassSystemServer{  privatestaticfinalTimingsTrac......
  • 流程控制
    流程控制​流程控制主要有三种结构,分别是顺序结构、分支结构、循环结构,这三种结构代表三种代码执行的顺序顺序流程控制​顺序结构是程序中最简单、最......
  • zabbix监控配置流程
    zabbix监控配置流程管理层次:开发人员要加监控,需要让其提供监控指标运营人员要加监控,让其找开发要监控指标运维人员要加监控,让运营人员去找开发要监控指标。配置层次:......
  • python当中同步接口和异步接口怎么测试【杭州多测师_王sir】【杭州多测师】
    接口测试中可以可以使用httpx进行异步调用,下面对比一下异步调用和同步调用的速度异步调用的代码如下async==》发音athink、表示异步await==》饿威特#异步调用impor......
  • 测试!!!!!
    测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!测试!!!!!......