WEB渗透测试流程

       首先学渗透成为网安的第一步是熟读《中华人民共和国网络安全法》和《中华人民共和国刑法》的相关法律法规。

       什么是渗透测试,渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的行为,是一种授权的行为。是对用户信息安全措施积极检测的过程,是对系统所有弱点,技术缺陷,漏洞检测的分析过程。那么渗透测试流程包含什么?以下是详细的内容介绍。

  第一步:确定要渗透的目标,授予权限进行测试的站点。

第二步:收集目标网站的相关信息,比如:网站中间件及版本,操作系统及版本,数据库及版本,开放的端口服务,所使用的脚本语言,子域名,C段、旁站以及CMS系统等等。
第三步:漏洞探测(发现漏洞)。利用收集到的信息,寻找目标的弱点。(思路:如果目标网站使用的是某个CMS系统,那么就可以在百度里搜索对应CMS或者目标网站其他资产,后面加上漏洞复现的字眼来搜索对应CMS存在的历史漏洞,然后回到目标网站,看看目标网站存不存在这些漏洞)。

WEB渗透测试流程_第1张图片

第四步:漏洞利用,找到对方系统的弱点后,就拿目标系统的最高权限(windows系统的最高权限是system,linux系统的最高权限是root)。
第五步:渗透目标内网的其他主机,把获得的目标机器权限,当作跳板,进一步攻克内网其他主机,直到控制目标系统的整个内网。

第六步:告诉开发修复漏洞的方法。
第七步:清除渗透痕迹(删除日志文件和日志备份文件),撰写测试报告。

WEB渗透测试流程_第2张图片

注意!:如果你只想做一个漏洞赏金猎人,那么你只需要做到第三步就可以在一些src平台上进行提交漏洞了。(如果对网站造成破坏损失,那么你以后可能要按时起床唱国歌。所以希望读者们都能做一个正义的白帽子,作者我只做技术分享,不负法律责任!谢谢。)

你可能感兴趣的:(安全)