網絡安全滲透測試的流程和方法:首先要明確在整個滲透測試過程中需要進行的工作。當接收到客戶的滲透測試任務時,往往對于所要進行的目標知之甚少或者一無所知。而在滲透結束的時候,對目標的了解程度已經遠遠超過客戶。在此期間需要從事大量的研究工作,整個滲透過程可以分為以下階段。

一、前期與客戶的交流階段1、滲透的目標

確定滲透測試所涉及的IP地址范圍和域名范圍。Web應用和無線網絡,甚至安保設備都有可能是滲透目標。同時需要明確客戶需要的是全面評估還是某一方面或部分評估。

2、進行滲透測試過程中所使用的方法黑盒測試-也稱外部測試。

測試人員先期對目標網絡的內部結構和所使用的的程序完全不了解,對網絡外部對網絡安全進行評估。需要耗費大量時間對目標信息進行收集。

白盒測試-也稱內部測試。

測試人員必須事先清楚地知道被測目標的內部網結構和技術細節。相比黑盒測試,白盒測試的目標是明確定義好的。

灰盒測試-白盒測試和黑盒測試的結合。

會了解大部分目標網絡信息,但不會掌握網絡內部工作原理和限制信息。

3、進行滲透測試所需要的的條件

如果是白盒測試,需要客戶提供測試必要的信息和權限,客戶最好可以接受問卷調查。確定滲透時間、如果受到了破壞 如何補救。

4、滲透測試過程中的條件限制

必須明確哪些設備不能進行滲透測試,以及哪些技術不能應用。另外明確哪些時間點不能進行滲透測試。

5、滲透測試過程的周期

客戶可以了解滲透測試的開始和結束時間,以及在每個時段所進行的工作。

6、滲透測試的費用

一般公司銷售會討論 不了解

7、滲透過程中的預期目標

需要客戶明確或者說好了在滲透測試結束后達到什么目標,最終滲透報告應該包含哪些內容。

二、情報收集階段

情報指的的目標網絡、服務器、應用程序的所有信息。

1、被動掃描

一般不會被發現 -

2、主動掃描

使用專業工具進行對目標的掃描。掃描后會獲得目標網絡結構,目標網絡所使用的設備類型,主機上運行的操作系統、主機開放的所有端口、主機上提供的服務、目標主機上鎖運行的應用程序等。

三、威脅建模階段

哪些資產是目標中的重要資產攻擊時采用什么技術和手段那些群體可能會對目標造成破壞那些群體會使用什么手段來進行破壞

四、漏洞分析階段

根據情報收集時發現的目標操作系統、開放端口、服務進程,查找和分析可能存在的問題漏洞

五、漏洞利用階段

根據發現的可能存在的網站漏洞 進行驗證和利用

六、后滲透攻擊階段

1.控制權限的提升2.登錄憑證的竊取3.重要信息的獲取4.利用目標做跳板5.簡歷長期的控制通道

七、報告階段

漏洞位置、后果、漏洞修改方法、當前網絡安全的改進意見

更多問題: 請掃描二維碼咨詢Mary

本文版權歸趣營銷www.SEOgUrublog.com 所有,如有轉發請注明來出,競價開戶托管,seo優化請聯系QQ卍61910465