分層思想
優點:分工明確,工作效率高
缺點:從業人員對系統沒有整體的認識,對安全知識較為片面
安全的目標
先於攻擊者發現和防止漏洞出現
攻擊型:以攻擊者的思維發現漏洞,攻擊系統
防護型:投入巨大,會有遺漏,不夠全面,收效不高
滲透測試
嘗試破解系統的防禦機制,發現系統的弱點
從攻擊者的角度思考,測量安全防護的有效性
證明問題存在,而不是破環
不侷限於一台機器出現的問題,而著眼漏洞對整個系統的影響與危害
pets (
前期互動階段(確定滲透測試範圍,對應用系統滲透任務劃分)
情報收集(收集目標系統的資訊,有被動收集和主動收集)
威脅建模(根據收集到的資訊,確定最有效,最有可能成功的攻擊途徑)
漏洞分析(通過系統軟體版本分析,寫出漏洞利用**)
滲透攻擊階段(並不像想象中那麼順利,目標系統有防護系統)
後滲透測試階段(擴大滲透的影響面)
滲透測試報告階段(向客戶和其他同事證明系統可以被控制,描述發現,利用過程,以及如何解決)
是否允許社會工程學攻擊
是否允許ddos攻擊
kali linux策略
root使用者策略(不同於普通linux系統小心翼翼的使用方式)
網路服務策略(預設關閉所有網路服務,自啟動指令碼預設關閉)
更新公升級策略(debian + kali官方)
實踐是最好的老師,kali很強大,但不是全部。這只是關於滲透測試的起點。
kali linux網路滲透
kali linux網路滲透 kali linux是基於debian的linux發行版,設計用於數字取證和滲透測試。由offensive security ltd維護和資助。最先由offensive security的mati aharoni和devon kearns通過重寫backtrack來完成...
kali linux滲透測試之Nessus的安裝
0x01 kali uname命令詳解 0x02 etc init.d nessusd start我們在這裡補充一下檢視系統架構型別的命令 uname a命令可以直接顯示 linux 系統架構的命令,幾乎可以工作在所有 linux unix 系統當中。dpkg 的命令可用於檢視 debian ubu...
kali linux滲透入門 1
對滲透感興趣,這些天研究了一下kali,搞了個課程,在vm上搭建了個靶機 對於kali的安裝不做過多陳述,網上很多教程,以下把我學習到的筆記記錄,更新中。1 sqlmap sql注入 沒啥好說,id 1測試,注入,基本行不通 2.arps 欺騙攻擊,使得內網主機斷網 1 先檢視網絡卡是多少 ifco...