滲透測試執行標準由七(7)個主要部分組成。這包括一切從最初的通訊和後面的乙個滲透測試推理滲透測試相關的,通過收集情報和威脅建模階段,測試人員正在幕後為了更好的了解測試的組織,通過脆弱性研究、開發和後期開發,在測試技術的安全專業知識來玩結合參與企業的理解,和最後的報告,這將整個過程,在乙個有意義的方式為客戶提供最有價值的東西。
>>>滲透測試執行標準:
預接觸相互作用
情報收集
威脅建模
脆弱性分析
開發後開發
報告sometime 也被稱為白帽測試,是指在滲透測試者在擁有客戶組織所有知識的情況下進行的測試
>>>
advantage : 你將擁有所有的內部知識,並可以在不需要害怕被阻斷的情況下任意實施攻擊
disadvantage:無法有效的測試客戶組織的應急響應程式,也無法判斷出他們的安全防護計畫對檢測特定攻擊的效率。
時間有限;或特定的滲透測試環節如情報搜尋不在範圍之內,白盒測試可能是best choice。
設計為模擬乙個對客戶組織一無所知的攻擊者進行的滲透攻擊,
>>>
經過授權的黑盒測試師設計成為模擬攻擊者的入侵行為,並在不了解客戶組織大部分資訊和知識的情況下實施。
advantage : 【可以用來測試內部安全團隊檢測和應對一次攻擊的能力】
disadvantage:費時
依靠你的能力通過探測獲取目標系統的資訊,測試者只需要嘗試找出可以獲取目標系統訪問權代價最小的攻擊路徑,並保證不被檢測到。
用來找出指定系統或應用中安全漏洞的自動化工具
滲透測試基礎名詞
cve common vulnerabilities exposures 公共漏洞和暴露。cve就好像是乙個字典表,為廣泛認同的資訊保安漏洞或者已經暴露出來的弱點給出乙個公共的名稱。就是漏洞的編號 exp 用來攻擊漏洞的 nvd 國家漏洞資料庫。cnnvd 中國漏洞資料庫。poc 用來證明漏洞存在的...
01滲透測試基礎
滲透測試基礎 重要知識點 對客戶的滲透測試範圍的授權書一定要看仔細,測試範圍有哪些。發現漏洞 探測漏洞 驗證漏洞 poc 驗證漏洞需要寫的 exp 利用漏洞,在測試報告編寫情況下就不寫exp,只需要寫poc驗證存在該漏洞即可 安全術語介紹 python 1.指令碼asp,aspx,php,jsp 用...
內網滲透 內網滲透測試基礎 1
內網也指區域網 local area network 是指在某一區域內由多台計算機互聯而成的計算機組,組網範圍通常在數千公尺以內。在區域網中,可以實現檔案管理 應用軟體共享 印表機共享 工作組內的日程安排 電子郵件和傳真通訊服務等。內網是封閉的,可以由辦公室內的兩台計算機組成,也可以由乙個公司內的大...