国内网站安全测试6大步骤

网站安全测试

目标:
1. 发现网络系统中存在的安全隐患和可能被入侵者利用的安全漏洞
2. 与黑客区别:
· 渗透测试是经过授权的
· 可控制的、非破坏性的方法
3. 宏观上的分类:
· 黑盒测试
不了解目标详细信息的情况,模拟黑客攻击.
· 白盒测试
完全了解,代码审计.
· 灰盒测试
了解一部分东西.
4. 思路和细节

名词解释
  1. 漏洞
  2. POC
    验证漏洞存在的代码片段
  3. exploit
    利用(渗透攻击)
    exp(利用一个漏洞完整的程序)
  4. 提权
    权限提升
    获取当前用户所拥有权限之外的权限
    普通用户 > 管理员 垂直提权
    普通用户A >普通用户B 水平提权
  5. 后门
    为了长期控制主机,所种植一段程序或者”入口”
    shell 命令接口
    WebShell 从本质上来讲就是一个脚本文件,比如一句话木马
  6. 内网渗透
    对目标主机所在内网进行渗透
  7. 旁站入侵
    同一个服务器下运行多个网站
  8. C段入侵
    同C段下服务器入侵
    例如,192.168.1.1
    192.168.1.0/24
  9. HTTP 协议
    web 依赖于 HTTP 协议
  10. 服务端脚本
    C/S > B/S (C客户端,B浏览器,S服务器)

你可能感兴趣的:(网络安全)