和客戶進行溝通,做滲透測試的程度?為什麼要做滲透測試?做滲透測試中需要注意哪些避諱?客戶的業務主要是什麼?最關注什麼?測試範圍,哪些能測,哪些不能測?確定好測試的時間地點接待人等?免罪金牌(商量好出事故的責任承擔)?
收集所有的公開的資訊並且分析,
查**ip?**作業系統?指令碼語言?在該伺服器上有沒有其他的**?
根據收集到的資訊擬定各種破壞方案,例如你是做收費軟體的,那我們就嘗試竊取客戶開發並且實際測試過的軟體源**,如果源**被公開,公司業務就會瓦解。
根據收集到的資訊去猜測可能存在的漏洞?以及根據工具加上個人分析去發現可能存在的漏洞?
利用自己的專業知識對前兩步的漏洞進行驗證?
根據找到的漏洞進行擴充套件性破壞,漏洞有害性的放大?可能客戶對你破解了乙個使用者的密碼並不感冒,但是會很關注你利用破解的使用者去登入該系統竊取所有資訊,並銷毀重要檔案以達到摧毀系統的發現。
文件化的記錄該次滲透測試
滲透測試流程
1 資訊收集 a.伺服器的相關資訊 真實ip,系統型別,版本,開放埠,waf等 b.指紋識別 包括,cms,cdn,證書等 dns記錄 c.whois資訊,姓名,備案,郵箱,反查 郵箱丟社工庫,社工準備等 d.子網域名稱收集,旁站查詢 有授權可滲透 c段等 e.google hacking針對化搜尋...
滲透測試流程
滲透測試 更全面地找出伺服器的問題,更傾向於保護。入侵 不擇手段 甚至是具有破壞性的 拿到許可權。確定範圍 確定規則 確定需求。基礎資訊 系統資訊 應用資訊 版本資訊 服務資訊 人員資訊 防護資訊 系統漏洞 webserver漏洞 web應用漏洞 其他埠服務漏洞 自動化驗證 手工驗證 試驗驗證 登入...
滲透測試流程
以前看了不少這種總結之類的,雖然知其然但是並不是知其所以然,到現在也沒有做過一次完整的滲透測試,那麼從今天開 始就持續寫整個滲透測試的流程了。今天先從巨集觀上去敘述整個流程,之後的博文會介紹在每個流程中自己學到的知識。一 資訊收集 這個過程佔據的時間佔整個流程的約百分之50 三 漏洞利用 這個階段的...