首页 > 其他分享 >渗透测试导学

渗透测试导学

时间:2024-11-03 17:16:48浏览次数:3  
标签:网络安全 工程师 渗透 导学 漏洞 测试 权限

 学习地点(泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频 (bilibili.com))

渗透测试是干什么

        渗透测试的定义和目的

                通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全性能的评估方法。它的目的是通过识别安全问题,帮助了解当前的安全状况,从而帮助管理人员建立可靠的商业案例,证明所增加的安全性预算或者将安全性问题传达给高级管理员


        渗透测试过程和具体步骤

        明确目标:确定测试的目标,可能是某个站点,网络或网段
        信息收集:收集目标系统的相关信息,如域名,IP,端口等
        漏洞探测:利用各种工具和方法探测系统中的漏洞
        漏洞验证:验证探测到的漏洞是否真实存在
        编写报告:整理测试结果,编写详细的测试报告


        渗透测试的重要性

                渗透测试能够帮助组织发现并修复网络中的漏洞,避免潜在的攻击。
                通过模拟黑客的的攻击方式,提前发现并解决安全问题,避免安全事故的发生。

 

网络安全人才缺口

        据教育部公布的数据显示,到2027年,我国网络安全人员缺口将达327万,而高校每年的人才培养规模仅为3万人。这一数据凸显了网络安全领域人才供需的严重失衡。随着数字化、网络化、智能化的快速发展,网络安全问题日益凸显,对网络安全人才的需求也急剧增加。然而,由于人才培养周期较长、专业要求较高以及市场需求快速增长等因素,导致网络安全人才供给严重不足。

 

网络安全薪资

        网络安全工程师的薪资水平相对较高,且随着经验、技能和工作地区的不同而有所差异。以下是一些具体的薪资情况:

        初级网络安全工程师:年薪一般在10~15万元之间。这一阶段的工程师通常具备基本的网络安全知识和技能,能够完成一些基础的网络安全工作。
        中级网络安全工程师:年薪一般在15~25万元之间。中级工程师在初级工程师的基础上,具备更丰富的经验和更深入的专业知识,能够独立承担一些复杂的网络安全项目。
        高级网络安全工程师:年薪一般在30万元以上,甚至更高。高级工程师通常具备丰富的行业经验和深厚的专业知识,能够解决一些高难度的网络安全问题,并为企业提供全面的网络安全解决方案。


渗透思路

        信息收集>漏洞扫描>漏洞挖掘>开始攻击>权限维持(持久化)>权限提升>免杀隐藏>横向移动>痕迹清除

        信息收集:收集目标域名,二级域名,子域名,旁站,IP,端口等


        漏洞扫描:利用各种工具和方法探测系统中的漏洞


        漏洞挖掘:在信息收集和漏洞扫描的基础上,通过方法进一步寻找和发现目标系统中未知的漏洞。


        开始攻击:发现漏洞后,可以开始针对漏洞进行攻击利用漏洞或获取权限。


        权限维持(持久化):获取权限后,需要保持对目标系统的访问和控制。


        权限提升:尝试提升权限到更高的级别,以便获取更多的访问和控制权限。


        免杀隐藏:避免被目标系统的安全检测机制发现和清除,需要采取免杀隐藏技术。如火绒,360等


        横向移动:尝试横向移动到目标系统的其他部分或相关系统。


        痕迹清除:完成攻击和获取所需信息后,需要清除攻击过程中留下的痕迹,以避免被目标系统发现。

标签:网络安全,工程师,渗透,导学,漏洞,测试,权限
From: https://blog.csdn.net/LYZ_2108921628/article/details/143467775

相关文章

  • Me-and-My-Girlfriend-1靶机渗透 (Vulnhub内网渗透)
    一、Me-and-My-Girlfriend-1:1、渗透目标:Description:ThisVMtellsusthatthereareacoupleofloversnamelyAliceandBob,wherethecouplewasoriginallyveryromantic,butsinceAliceworkedataprivatecompany,"CebanCorp",somethinghaschan......
  • Icaros 3.3.3 测试版 2 是一组轻量级、高质量的 Windows Shell 扩展,能够为几乎任何视
    Suggested useful videotoolsforFREEIcaros3.3.3beta2 isacollectionoflightweight,highquality,WindowsShellExtensions,whichiscapableofprovidingWindowsExplorerthumbnailsforessentiallyanyvideomediafiletype.IcaroscanprovideWindows......
  • 渗透测试--Fuzzing Web应用
    总体思路        当我们发现一个Web应用的时候,我们可以从Web的各个层面发起信息搜集。比如Web目录,了解Web页面的后端语言,揭露后端文件的参数,揭露后端文件参数的可选值,爆破子域名、获取私有域名等。这些信息将帮助我们进一步渗透,有时候会起到关键作用。其实其核心点就......
  • 一文分析:软件测试的底层逻辑是什么?
    软件测试的底层逻辑主要基于质量保证和风险控制,下面从几个关键角度来详细阐述:1.验证与确认验证(Verification):这是确保软件产品的构建过程正确的活动。它主要关注软件是否按照预先定义的规范、标准和流程进行开发。例如,在软件开发过程中,开发团队需要遵循一定的代码规范,如命名规......
  • 跟着红队笔记学习 tmux:渗透测试中的多终端利器
    内容预览≧∀≦ゞ跟着红队笔记学习tmux:渗透测试中的多终端利器进入tmux前的准备tmux概念简介tmux基础操作会话管理命令会话管理快捷键会话内和会话外命令的区别tmux窗口和面板管理新建和管理窗口分割窗口为面板切换面板面板放大与恢复调整面板大小关闭面板分屏......
  • Maven(22)如何使用Maven进行单元测试?
    Maven提供了内置的支持来进行单元测试,主要通过maven-surefire-plugin插件实现。以下是如何使用Maven进行单元测试的详细步骤和代码示例:步骤1:添加测试依赖首先,确保你的项目中包含了测试框架的依赖,如JUnit。在pom.xml文件中,你需要添加JUnit依赖:<dependencies>...<......
  • 软件测试规范面面观 - 测试计划
    软件测试计划作为软件测试中极为重要的一个规范性文档,本文我们来介绍测试计划的编写要点软件研发生命周期在说明软件测试计划应如何制定之前,我们先熟悉下软件研发生命周期的定义:软件开发生命周期(SoftwareDevelopmentLifeCycle,SDLC)包含了软件从开始到发布的不同阶......
  • 自动化测试中的验证码处理
    在自动化测试中,处理验证码往往是一个挑战,尤其是图形验证码。每次刷新生成的验证码内容各不相同。获取验证码的方法通常有两种:获取验证码图片链接:例如src="http://example.com/getcaptcha/123",但这种方法有时并不可靠,因为通过链接访问的验证码可能与当前页面显示的验证码不一致。......
  • 验证码处理在自动化测试中的应用
    在进行自动化测试时,处理验证码是一项常见的挑战,特别是图形验证码。每次刷新都会生成新的验证码,因此我们可以采用以下两种方法来获取验证码:获取验证码图片链接:例如src="http://example.com/getcaptcha/123",但这种方式并不总是可靠,因为通过链接访问的验证码可能与当前页面显示的不......
  • 软件测试
    质量模型功能性:与需求量一致,功能正确性能:响应快,资源占比少(优化)兼容性:不同设备不同平台上能正常使用易用性:流畅,简洁,美观(用户体验好)安全性:敏感数据存储/传输安全可靠性:长时间运行稳定,不出现异常可移植性:应用系统升级/数据迁移方便可维护性:方便维护1.单功能测试是指软件程......