渗透测试工作任务概述

一、渗透测试工作任务介绍

渗透测试工作任务不是随便用个工具就可以完成的,需要了解网站业务情况,还需要在测试结束后给出安全加固的解决方案;

渗透测试与入侵工具区别:

  • 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患;

  • 入侵攻击:是不择手段地(甚至是具有破坏性的)获取系统控制权限;

二、渗透测试工作任务流程

一般渗透流程:

++01【明确目标】++

确定范围:测试目标的范围包括:IP地址,域名,内外网。

确定规则:能渗透到什么程度(比如是否允许渗透到内网环境)?时间?能否修改上传(木马是否允许上传)?能否提权等。

确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?等等。

ps:根据需求和自己技术能力来确定能不能做,能做多少渗透任务。

++02【信息收集】++

如果渗透测试的甲方企业没有提供相关的测试网站信息,需要在渗透测试前进行相关渗透测试的信息收集

一般做信息收集时,采用的方式是:主动扫描信息和开放搜索信息等;

对于开放搜索信息,就是利用特定搜索引擎获得后台网站服务信息,未授权的页面信息,以及敏感url地址信息等;

++03【漏洞探测】++

利用信息收集过程收集到的各种系统,应用服务等,进行扫描探测其中是否存在可以利用的漏洞;

一般进行漏洞探测的方法有:

  • 利用工具漏扫:可以利用awvs、ibm appscan、burp等扫描工具进行扫描获取漏洞

  • 漏洞利用方法:可以根据扫描出的漏洞情况,到特定一些网站上(exploit-db)寻找漏洞验证的方法(获取poc),

  • 攻击程序测试:可以根据漏洞利用方法步骤进行攻击测试,或者利用相应攻击软件进行漏洞利用测试(MSF)

通常在漏洞探测时,可以发现哪些漏洞信息:

++04【漏洞验证】++

漏洞探测进行完毕后,可以对发现的漏洞情况进行全部利用测试,以确保对应的漏洞是否会对网站造成危害;

说明:结合实际情况,可以搭建模拟环境进行漏洞利用试验,成功后再应用于目标中;

常用的漏洞验证方式有:

++05【信息分析】++

主要为实施渗透测试做好准备,经常做的准备包括:

++06【获取所需】++

经过渗透测试之后,需要获得相应的攻击结果信息,并将攻击过程产生的数据文件信息进行清理;

具体涉及到的获取信息和工作内容包括:

++07【信息整理】++

需要对整个渗透项目做结束前的信息整理,以便最后总结生成完善的渗透测试报告,需要做的信息整理包括:

++08【形成报告】++

按照信息整理后的内容,结合客户确定好的渗透项目范围,需求来整理资料,并将资料形成报告;

报告需要包含具体的漏洞情况,要对漏洞形成原因进行分析,并需要将漏洞验证利用过程和可能带来的未来进行说明;

最后在渗透报告中,需要对漏洞所产生的问题给予合理高效安全的解决方法或建议

相关推荐
csdn_aspnet5 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ChainSafeAI0036 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
世***y7 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站7 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
mounter6258 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
chenyulin45459 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
CypressTel11 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
上海云盾-小余12 小时前
流量攻击详解:区分带宽耗尽与资源耗尽两类攻击
爬虫·安全·ddos
科力锐品牌君13 小时前
医院数据存储“乱象”:如何兼顾兼容、高效与合规?
大数据·安全·备份·存储·存储方案
长风23014 小时前
Day 17: 突破 AOB 框架霸权 —— 插件界面重构与大屏呈现
人工智能·安全