新一代自动化渗透平台的设计与实现-司红星.pdf

新一代自动化渗透平台的设计与实现 cnrstar@四维创智 自我介绍 8年渗透测试实战经验 常年奋斗在渗透测试前线 带领公司致力于自动化渗透测试研究 任职于四维创智(国家信息安全技术研究中心战略 合作伙伴) ，完成多个国家级项目 为什么要做自动化渗透 渗透测试人员面临的问题 防火墙 IDS WAF !各类威胁感知与流量监控 渗透越来越难 成本越来越高 企业面临的问题 找专业公司解决—好贵 自己招人解决—成本好高 如何破？ 普遍存在安全问题 新一代自动化渗透测试平台 是时候做出改变了 ！ 渗透测试三字经 进谷歌 找注入 没注入 就旁注 没旁注 用Oday 没Oday 猜目录 没目录 就嗅探 拿不下 去自杀 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据 渗透测试流程-大套路 信息收集 漏洞利用 扫描探测 后门维持 信息收集套路 信息收集 站 网 二 邮 长 who 站 级 箱 其 is IP 域 信 他 信 段 名 息 域 息 收 探 收 名 收 集 测 集 收 集 集 扫描探测套路 扫描探测 端口开放情况 指纹识别 端口弱口令 旁注扫描 漏洞利用套路 exploit-db等搜一遍 渗透三板斧 WEB漏洞搞一遍 端口弱口令搂一遍 自动化渗透来了 要达到的效果