渗透测试流程
-
渗透测试与入侵的最大区别:
渗透测试:更全面地找出服务器的问题,更倾向于保护。
入侵:不择手段(甚至是具有破坏性的)拿到权限。
-
渗透测试流程
1. 明确目标
确定范围、确定规则、确定需求。
2. 信息搜集
基础信息、系统信息、应用信息、版本信息
服务信息、人员信息、防护信息
3. 漏洞探测
系统漏洞、WebServer漏洞
Web应用漏洞、其他端口服务漏洞
4. 漏洞验证
自动化验证、手工验证、试验验证
登录猜解、业务漏洞验证、公开资源的利用
5. 信息分析
精准打击、绕过防御机制
定制攻击路径、绕过检测机制、攻击代码
6. 获取所需
实施攻击、获取内部信息
进一步渗透、持续性存在、清理痕迹
7. 信息整理
整理渗透工具、整理收集信息、整理漏洞信息
8. 形成报告
按需整理、补充介绍、修补建议