zoukankan      html  css  js  c++  java
  • 渗透测试流程

    一个网站的渗透测试思路,流程(给你一个网站,怎么做?)
     

    1)信息收集

     
           a. 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
           b. 网站指纹识别(包括,cms,cdn,证书等),dns记录
           c. whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
           d. 子域名收集,旁站查询(有授权可渗透),C段等
           e. google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等
           f. 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
            i. 传输协议,通用漏洞,exp,github源码等
     

    2)漏洞挖掘

          
          1> 浏览网站,看看网站规模,功能,特点等
          2> 端口,弱口令,目录等扫描
          3> XSS,SQL注入,命令注入,CSRF,cookie安全检测,敏感信息,通信数据传输,暴力破解,任意文件上传,越权访问,未授权访问,目录遍历,文件 包含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等
     

    3)漏洞利用 | 权限提升

     
            a) mysql提权,serv-u提权,linux内核版本提权等
     

    4)清除测试数据 | 输出报告

     
            i 日志、测试数据的清理
            ii 总结,输出渗透测试报告,附修复方案
     

    5)  复测

     
            验证并发现是否有新漏洞,输出报告,归档
  • 相关阅读:
    ZeptoLab Code Rush 2015
    UVa 10048 Audiophobia【Floyd】
    POJ 1847 Tram【Floyd】
    UVa 247 Calling Circles【传递闭包】
    UVa 1395 Slim Span【最小生成树】
    HDU 4006 The kth great number【优先队列】
    UVa 674 Coin Change【记忆化搜索】
    UVa 10285 Longest Run on a Snowboard【记忆化搜索】
    【NOIP2016提高A组模拟9.28】求导
    【NOIP2012模拟10.9】电费结算
  • 原文地址:https://www.cnblogs.com/CubicZ/p/11453591.html
Copyright © 2011-2022 走看看