一、渗透测试的流程
1.确认目标
- 范围
- 规则(限制条件)
- 需求
- 授权(确定哪些能做,哪些不能做)
2.信息收集*
域名信息、ip段、开放的端口、网站架构、文件目录结构、软件版本、waf、旁站、c段、社会工程学类(收集信息)..
3.漏洞扫描
- 权威的漏洞数据库平台
国家信息安全漏洞库(CNNVD) 网址
国家信息安全漏洞共享平台(CNVD) 网址
国家工业信息安全漏洞库(CICSVD) 网址
CVE 网址
- 使用扫描工具
4.漏洞利用
攻击
防御绕过(防火墙、waf、ids、监控系统)
维持访问(后渗透访问)
5.形成报告/清除痕迹
发现了什么漏洞
危害性(低危、中危、高危)
怎么发现的
如何复现
原因分析
修补建议
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 tanglx@aliyun.com
