渗透测试漏流程(PTES)

渗透测试流程(PTES)

  • 渗透测试分类
  • PTES渗透流程(七步骤)
    • 前期交互阶段
    • 情报收集阶段
    • 威胁建模阶段
    • 漏洞分析阶段
    • 渗透攻击阶段
    • 后渗透阶段
    • 报告阶段

渗透测试分类

  • 黑盒测试:在攻击者角度,没有任何已知信息
  • 白盒测试:拥有具体的所有信息
  • 灰盒测试:拥有部分信息(最常见的情况)

PTES渗透流程(七步骤)

前期交互阶段

  • 完成渗透授权的获取、签订合同、约定渗透时间、渗透范围

情报收集阶段

  • 收集客户网络情报,越详尽越好
  • 方法:利用工具收集(Nessus和Nmap等工具)、通过搜索引擎收集、通过社会工程学收集

威胁建模阶段

  • 根据收集的情报搭建客户网络的模拟环境进行渗透测试

漏洞分析阶段

  • 其中包括漏洞产生原因、原理、以及对应的解决方案等

渗透攻击阶段

  • 各种攻击手段,如漏洞利用,sql注入,XSS攻击等

后渗透阶段

  • 提升权限,获取更多用户信息
  • 清除痕迹,收回渗透过程上传的恶意脚本、木马等文件,删除渗透过程中创建的管理员账户等

报告阶段

  • 通过渗透,发现问题,形成渗透过程报告,以及漏洞修复解决思路

所有知识为个人总结向,仅供参考

你可能感兴趣的:(主机渗透,安全)