这篇“WEB安全中渗透测试基本流程是怎样的”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“WEB安全中渗透测试基本流程是怎样的”文章吧。
渗透测试指网络安全专业人员模拟黑客入侵方式对目标进行攻击,以此来评估目标的安全防御能力。一般分为:黑盒渗透测试、白盒渗透测试、灰盒渗透测试。
选择的渗透测试类型主要取决于公司和组织的用途和范围,他们是否想要模拟员工、网络管理员或外部来源的攻击。在黑盒渗透测试中,测试人员没有获得关于他将要测试的应用程序的许多信息,测试人员有责任收集有关目标网络,系统或应用程序的信息;在白盒渗透测试中,测试人员将获得有关网络,系统或应用程序的完整信息以及源代码,操作系统详细信息和其他所需信息。它可以被认为是模拟内部来源的攻击;在灰盒渗透测试中,测试人员将具有应用程序或系统的部分知识。因此,它可以被认为是外部黑客的攻击,黑客已经非法访问组织的网络基础设施文档。
从实际的渗透测试人员来看,在执行过程中一般的渗透测试是一个怎么样的流程呢?一般可以分为以下几个过程:目标确认、信息收集、漏洞发现、漏洞利用、权限维持内网渗透、目标获取痕迹清理。
目标确认指明确此次渗透的目标(获取权限还是获取数据?)、范围时间、约束条件等。这个目标有两层含义,简单来说就是最终木目的是什么?我要拿到什么?
信息收集:在明确目标之后,要收集目标范围内的各类信息。在一开始接触渗透测试的时候,你可能听过这样一句话,渗透测试的本质是信息收集。确实没错,为什么需要做信息收集?因为你不去做信息收集,那么你攻击的范围就会很窄,死盯着一个现成的域名或一个IP,无异于把自己框死了。我在实际的项目中,经常会遇到一些同事拿着问题过来找我,说自己做不下去了,无法再继续深入了,一般在这个时候,我都会给他们说,当你没有办法再做下去的时候那就继续回去做信息收集,去看看你遗漏了什么。
那么我们在信息收集的时候要做收集哪些信息呢?怎么收集呢?信息要收集:域名、子域名、IP及端口、IP反向查域名、服务提供商、应用服务系统\版本、域名历史解析IP、服务端框架\语言、开源情报、防御措施等等。
信息收集工具,目前市面上有非常非常多,大家可以根据自己的喜好进行选择就可以。
漏洞发现:在信息收集的基础上发现目标应用系统的漏洞。漏洞发现我为大家整理了四个方面:
框架组件公开漏洞:根据所使用的的框架组件版本情况,查找公开漏洞验证payload,通过手工或者工具的手段验证漏洞。一般这种漏洞,存在都是一些不小的漏洞。
传统漏洞:像比如xss\sql注入\ssrf等传统的网络安全漏洞,这一部分可以利用手工或者工具进行识别,就考验大家对于漏洞的掌握程度了。
口令漏洞:对系统登录入口点采用口令攻击。
代码审计0day:在开源或未开源的情况下,获取目标应用系统源码,进行代码审计
漏洞利用:对已发现的目标漏洞进行利用,通过漏洞利用获取目标系统权限。
由于针对不同的漏洞其自身特点,漏洞利用方式也不尽同,漏洞利用考验一个人对漏洞理解的深度问题,与漏洞发现有很大的不同,要想在渗透测试过程中能够有效的对目标进行攻击,需要充分了解各个漏洞的利用方式,并且越多越好,这样我们才能应不同的场景,建议大家在经典Web漏洞的基础上,针对每种漏洞通过搜索漏洞名称+利用方式(如SQL注入漏洞利用方式)不断的深入学习,保持对各类公开漏洞的关注,学习各类安全自动化工具的原理,如通过学习SQLMAP源码学习SQL注入利用,学习XSS平台利用代码学习XSS利用。
权限维持、内网渗透:进入目标内容,进行横向拓展,向渗透目标靠近
目标获取、痕迹清理:获取渗透目标权限或数据,回传数据,进行痕迹清理。
以上就是关于“WEB安全中渗透测试基本流程是怎样的”这篇文章的内容,相信大家都有了一定的了解,希望小编分享的内容对大家有帮助,若想了解更多相关的知识内容,请关注亿速云行业资讯频道。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。