龙空技术网

网络安全渗透测试的流程和方法(干货分享)

网络工程师-郭主任 200

前言:

眼前你们对“主机渗透测试步骤”大致比较着重,小伙伴们都想要剖析一些“主机渗透测试步骤”的相关内容。那么小编同时在网络上汇集了一些有关“主机渗透测试步骤””的相关文章,希望同学们能喜欢,兄弟们快快来学习一下吧!

网络安全渗透测试的流程和方法:首先要明确在整个渗透测试过程中需要进行的工作。当接收到客户的渗透测试任务时,往往对于所要进行的目标知之甚少或者一无所知。而在渗透结束的时候,对目标的了解程度已经远远超过客户。在此期间需要从事大量的研究工作,整个渗透过程可以分为以下阶段。

一、前期与客户的交流阶段1、渗透的目标

确定渗透测试所涉及的IP地址范围和域名范围。Web应用和无线网络,甚至安保设备都有可能是渗透目标。同时需要明确客户需要的是全面评估还是某一方面或部分评估。

2、进行渗透测试过程中所使用的方法黑盒测试-也称外部测试。

测试人员先期对目标网络的内部结构和所使用的的程序完全不了解,对网络外部对网络安全进行评估。需要耗费大量时间对目标信息进行收集。

白盒测试-也称内部测试。

测试人员必须事先清楚地知道被测目标的内部网结构和技术细节。相比黑盒测试,白盒测试的目标是明确定义好的。

灰盒测试-白盒测试和黑盒测试的结合。

会了解大部分目标网络信息,但不会掌握网络内部工作原理和限制信息。

3、进行渗透测试所需要的的条件

如果是白盒测试,需要客户提供测试必要的信息和权限,客户最好可以接受问卷调查。确定渗透时间、如果受到了破坏 如何补救。

4、渗透测试过程中的条件限制

必须明确哪些设备不能进行渗透测试,以及哪些技术不能应用。另外明确哪些时间点不能进行渗透测试。

5、渗透测试过程的周期

客户可以了解渗透测试的开始和结束时间,以及在每个时段所进行的工作。

6、渗透测试的费用

一般公司销售会讨论 不了解

7、渗透过程中的预期目标

需要客户明确或者说好了在渗透测试结束后达到什么目标,最终渗透报告应该包含哪些内容。

二、情报收集阶段

情报指的的目标网络、服务器、应用程序的所有信息。

1、被动扫描

一般不会被发现 -

2、主动扫描

使用专业工具进行对目标的扫描。扫描后会获得目标网络结构,目标网络所使用的设备类型,主机上运行的操作系统、主机开放的所有端口、主机上提供的服务、目标主机上锁运行的应用程序等。

三、威胁建模阶段

哪些资产是目标中的重要资产

攻击时采用什么技术和手段

那些群体可能会对目标造成破坏

那些群体会使用什么手段来进行破坏

四、漏洞分析阶段

根据情报收集时发现的目标操作系统、开放端口、服务进程,查找和分析可能存在的问题漏洞

五、漏洞利用阶段

根据发现的可能存在的网站漏洞 进行验证和利用

六、后渗透攻击阶段

1.控制权限的提升

2.登录凭证的窃取

3.重要信息的获取

4.利用目标做跳板

5.简历长期的控制通道

七、报告阶段

漏洞位置、后果、漏洞修改方法、当前网络安全的改进意见

更多问题请扫描二维码咨询Mary

标签: #主机渗透测试步骤