1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 报告/分析
  5. 轻工

渗透测试流程.docxVIP

渗透测试流程.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    渗透测试流程

    201509

    目录

    TOC\o1-3\h\z\u第一章、渗透测试综述 3

    1.1前期交互 3

    1.2信息收集 3

    1.3漏洞分析 3

    1.4团队交流 3

    1.5渗透攻击 4

    1.6渗透报告 4

    第二章、渗透测试流程图 4

    2.1渗透测试流程详图 4

    2.2渗透测试综述图 6

    2.3攻击思路与操作 7

    第三章、渗透测试工具 7

    3.1信息收集工具 7

    3.2漏洞分析工具 8

    3.3渗透攻击工具 8

    第四章、渗透相关报表 8

    4.1渗透信息收集报表 8

    4.2渗透测试记录报表 9

    4.3平安加固记录报告 9

    第一章、渗透测试综述

    渗透测试的根本流程

    渗透测试一定要按照必要的流程才能更大地提高渗透测试的成功性,所以我们应该要好好地清楚渗透测试必要的流程。我们可以把渗透测试的流程分为6个阶段,这6个阶段都是必不可少的。

    1.1前期交互

    这个阶段是指与客户交流渗透测试的要求和确定和渗透团队确定攻击的范围。该阶段是收集客户的要求,并制定渗透测试的方案和对团队每个人的分配工作。

    1.2信息收集

    收集渗透目标的情报是最重要的阶段。如果收集到有用的情报资料的话,可以大大提高对渗透测试的成功性。收集渗透目标的情报一般是对目标系统的分析,扫描探测,效劳查点,扫描对方漏洞,查找对方系统IP等等。有时候渗透测试者也会使用上社会工程学。渗透测试者会尽力收集目标系统的配置与平安防御以及防火墙等等。

    1.3漏洞分析

    漏洞分析阶段要综合以上所有的阶段收集回来的情报。特别是漏洞扫描结果,效劳器的配置,防火墙的使用情况情报最为重要。渗透测试者可以根据以上的情报进行开发渗透代码。渗透测试者会找出目标系统的平安漏洞和挖掘系统拥有的未知漏洞进行渗透。漏洞分析阶段是进行攻击的重要阶段。

    1.4团队交流

    收集好目标系统的情报后,不要急于渗透目标系统,要与渗透团队进行头脑风暴。往往一个人的力量是不够的,团队集合起交流的力量是非常强大的。因为团队里面每一个人所拥有的特点和特长都会不一样。大家交流的话,可以取长补短。所以与团队交流这个阶段可以确定更快,更容易地制定入侵目标系统的方案。

    1.5渗透攻击

    渗透攻击的阶段渗透测试者就要利用找到的目标系统漏洞进行渗透入侵,从而得到管理权限。渗透攻击的代码可以利用公开的渠道获取渗透代码,也可以由渗透测试者马上开发针对目标系统的渗透代码。如果是黑盒测试的话,渗透攻击的难度就会加多许多。黑盒测试要考虑到目标系统的检测机制,和要防止被目标系统的应急响应团队的追踪。

    1.6渗透报告

    渗透测试的过程和挖掘出的平安漏洞最终都会报告给客户。渗透测试员一般都会提交渗透时发现目标系统的缺乏,平安漏洞,配置的问题,防火墙的问题等等。以及渗透测试员会帮助他们进行对平安漏洞的修复,和其他问题的建议与帮助等等。

    第二章、渗透测试流程图

    2.1渗透测试流程详图

    2.2渗透测试综述图

    2.3攻击思路与操作

    第三章、渗透测试工具

    3.1信息收集工具

    工具名称

    主要功能描述

    运行环境

    外围信息收集

    超级ping软件

    测试与目标的联通

    Windows/Linux

    Tracert

    目标路径追踪

    Linux

    Whois/dig

    域名注册信息查询

    Linux

    netcraft

    获取目标可能存在的域名、Web及效劳器信息

    Linux

    curl

    获取目标web根本信息

    Linux

    baidu/yahoo

    搜索引擎获取目标信息

    Windows/Linux

    漏洞信息收集

    namp

    目标端口、主机、效劳探测

    Windows/Linux

    Nessus

    网站漏洞扫描发现

    Linux

    Appscan

    Web应用平安测试工具

    Windows

    hping3

    防火墙规那么探测

    Linux

    3.2漏洞分析工具

    工具名称

    主要功能描述

    运行环境

    3Dreport

    网络平安分析

    Linux

    RSAS

    漏洞扫描分析评估

    Linux

    Appscan

    Web应用平安测试工具

    Windows

    Openvas

    开放式漏洞评估扫描

    Linux

    3.3渗透攻击工具

    工具名称

    主要功能描述

    运行环境

    PasswordSnifferSpy

    口令嗅探

    Widows

    Metasploit

    口令破解

    Linux

    Sniffer

    权限提升

    Windows

    Burpsuite

    网站渗透攻击

    Linux

    Sqlmap

    SQL注入

    Linux

    ……

    第四章、渗透相关报表

    4.1渗透信息收集报表

    测试方法

    测试内容

    风险等级

    存在风险

    风险控制方法

    外围信息收集

    扫描信息收集

    社会工程学

    4.2渗透测试记录报表

    编号

    名称

    结果

    系统版本

    软件版本

    IP地址

    端口

    您可能关注的文档

    最近下载

    文档评论(0)

    展翅高飞2020 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >