qileilove
          

          blog已經(jīng)轉(zhuǎn)移至github,大家請(qǐng)?jiān)L問(wèn) http://qaseven.github.io/
          
			
          
				
					
	
          
		
          
			滲透測(cè)試基本流程
		
          
		
           滲透測(cè)試的基本流程
            滲透測(cè)試一定要按照必要的流程才能更大地提高滲透測(cè)試的成功性,所以我們應(yīng)該要好好地清楚滲透測(cè)試必要的流程。我們可以把滲透測(cè)試的流程分為6個(gè)階段,這6個(gè)階段都是必不可少的。
            1:前期交互
            這個(gè)階段是指與客戶交流滲透測(cè)試的要求和確定和滲透團(tuán)隊(duì)確定攻擊的范圍。該階段是收集客戶的要求,并制定滲透測(cè)試的計(jì)劃和對(duì)團(tuán)隊(duì)每個(gè)人的分配工作。
            2:收集滲透目標(biāo)的情報(bào)
            收集滲透目標(biāo)的情報(bào)是最重要的階段。如果收集到有用的情報(bào)資料的話,可以大大提高對(duì)滲透測(cè)試的成功性。收集滲透目標(biāo)的情報(bào)一般是對(duì)目標(biāo)系統(tǒng)的分析,掃描探測(cè),服務(wù)查點(diǎn),掃描對(duì)方漏洞,查找對(duì)方系統(tǒng)IP等等。有時(shí)候滲透測(cè)試者也會(huì)使用上社會(huì)工程學(xué)。滲透測(cè)試者會(huì)盡力收集目標(biāo)系統(tǒng)的配置與安全防御以及防火墻等等。
            3:與團(tuán)隊(duì)交流階段(本階段適用于團(tuán)隊(duì))
            收集好目標(biāo)系統(tǒng)的情報(bào)后,不要急于滲透目標(biāo)系統(tǒng),要與滲透團(tuán)隊(duì)進(jìn)行頭腦風(fēng)暴。往往一個(gè)人的力量是不夠的,團(tuán)隊(duì)集合起交流的力量是非常強(qiáng)大的。因?yàn)閳F(tuán)隊(duì)里面每一個(gè)人所擁有的特點(diǎn)和特長(zhǎng)都會(huì)不一樣。大家交流的話,可以取長(zhǎng)補(bǔ)短。所以與團(tuán)隊(duì)交流這個(gè)階段可以確定更快,更容易地制定入侵目標(biāo)系統(tǒng)的方案。
            4:漏洞分析階段
            漏洞分析階段要綜合以上所有的階段收集回來(lái)的情報(bào)。特別是漏洞掃描結(jié)果,服務(wù)器的配置,防火墻的使用情況情報(bào)最為重要。滲透測(cè)試者可以根據(jù)以上的情報(bào)進(jìn)行開發(fā)滲透代碼。滲透測(cè)試者會(huì)找出目標(biāo)系統(tǒng)的安全漏洞和挖掘系統(tǒng)擁有的未知漏洞進(jìn)行滲透。漏洞分析階段是進(jìn)行攻擊的重要階段。
            5:滲透攻擊階段
            來(lái)到滲透攻擊的階段滲透測(cè)試者就要利用找到的目標(biāo)系統(tǒng)漏洞進(jìn)行滲透入侵,從而得到管理權(quán)限。滲透攻擊的代碼可以利用公開的渠道獲取滲透代碼,也可以由滲透測(cè)試者馬上開發(fā)針對(duì)目標(biāo)系統(tǒng)的滲透代碼。如果是黑盒測(cè)試的話,滲透攻擊的難度就會(huì)加多許多。黑盒測(cè)試要考慮到目標(biāo)系統(tǒng)的檢測(cè)機(jī)制,和要防止被目標(biāo)系統(tǒng)的應(yīng)急響應(yīng)團(tuán)隊(duì)的追蹤。
            6:報(bào)告階段
            滲透測(cè)試的過(guò)程和挖掘出的安全漏洞最終都會(huì)報(bào)告給客戶。滲透測(cè)試員一般都會(huì)提交滲透時(shí)發(fā)現(xiàn)目標(biāo)系統(tǒng)的不足,安全漏洞,配置的問(wèn)題,防火墻的問(wèn)題等等。以及滲透測(cè)試員會(huì)幫助他們進(jìn)行對(duì)安全漏洞的修復(fù),和其他問(wèn)題的建議與幫助等等。
          
		
          
			posted on 2014-03-06 10:32 順其自然EVO 閱讀(1534) 評(píng)論(0)  編輯  收藏  所屬分類: 測(cè)試學(xué)習(xí)專欄 、安全性測(cè)試 
		
          
	
          
	
	


	


          
	    
    




          








          

				
			
          
			
          
				
					
          
	
          
		
          <2014年3月>
          
	
          2324252627281
          2345678
          9101112131415
          16171819202122
          23242526272829
          303112345
          

          

					

          導(dǎo)航
          

					

          統(tǒng)計(jì)
          
	
					
					

          常用鏈接
          


          留言簿(55)
          


		
          隨筆分類
          
		
				
			
	
		
          隨筆檔案
          
		
				
			
	
		
          文章分類
          
		
				
			
	
		
          文章檔案
          
		
				
			
	



          搜索
          



          最新評(píng)論
	
          



          閱讀排行榜
          



          評(píng)論排行榜
          


				
			
          			
			

	

    







          
        
	




主站蜘蛛池模板:
宜丰县|
濮阳市|
浮梁县|
汾阳市|
合水县|
周至县|
海口市|
博爱县|
江孜县|
余江县|
巫溪县|
时尚|
太湖县|
离岛区|
大安市|
封开县|
宁明县|
云阳县|
馆陶县|
丰镇市|
灯塔市|
昔阳县|
抚顺市|
泉州市|
上栗县|
连南|
泸州市|
武宁县|
宜君县|
铜山县|
宁陕县|
金山区|
崇仁县|
南丹县|
阳谷县|
大姚县|
海宁市|
中方县|
方山县|
左权县|
长治市|