当前位置: 首页 > news >正文

网络安全渗透测试的八个步骤(一)

    ​一、明确目标

    ​1.确定范围:测试目标的范畴、ip、网站域名、内外网、检测帐户。

    ​2.确定标准:能渗入到何种程度,所花费的时间、能不能改动提交、能不能漏洞利用、这些。

    ​3.确定要求:web应用的漏洞、业务逻辑漏洞、工作人员管理权限管理漏洞、这些。

    ​二、信息收集

    ​1.方法:积极扫描仪,开放搜索等。

    ​2.开放搜索:使用百度搜索引擎得到:后台管理、未经授权网页页面、比较敏感url、这些。

    ​3.基础信息:IP、子网、网站域名、端口号。

    ​4.应用信息:各端口号的应用。比如web应用、电子邮件运用、这些。

    ​5.系统数据:操作系统版本

    ​6.版本信息:这所有的一切探测到的东西了版本。

    ​7.服务信息:消息中间件的各种信息内容,软件信息内容。

    ​8.人员信息:注册域名人员信息,web应用中发帖人的cd,管理人员名字等。

    ​9.安全防护信息内容:尝试看能不能探测到防护装备。

    ​三、漏洞探测

    ​1.系统漏洞:系统软件未能及时修复漏洞

    ​2.WebSever漏洞:WebSever配备难题

    ​3.Web应用漏洞:Web应用开发设计难题

    ​4.其他端口号服务项目漏洞:各种各样21/8080(st2)/7001/22/3389

    ​5.通信安全:明文传输,token在cookie中传输等。

    ​四、漏洞验证

    ​1.自动化技术验证:融合自动化技术漏洞扫描工具所提供的结论

    ​2.手工制作验证,依据公布数据进行验证

    ​3.实验验证:自己建模拟环境开展验证

    ​4.登陆猜解:有时候可以试着猜解一下登录口的账户密码等相关信息

    ​5,业务漏洞验证:若发现业务漏洞,需要进行验证

    ​

相关文章:

  • 舟山做网站的公司/青岛谷歌推广
  • 可以自己做网站吗/软件开发外包平台
  • 邯郸移动网站建设报价/网络推广渠道
  • wordpress 需要缓存/新媒体销售好做吗
  • 如何 做网站/域名被墙污染查询
  • 正规的企业建站公司/搜索网站排名优化
  • C语言—局部变量和全局变量
  • TensorRT学习笔记 1 - 概述
  • 数据结构抽象数据类型的表示和实现
  • [BJOI2019]勘破神机
  • 【触摸屏功能测试】昆仑通态MCGS——物联网功能测试
  • vscode python远程开发最佳实践
  • 分享巧记Linux命令的方法
  • MySql索引下推知识分享
  • 4.0、Hibernate-延迟加载 2
  • 关于Docker入门
  • JAVA手机网站销售
  • Day01-Day50