亚洲av无码国产精品久久网,亚洲AV无码乱码国产麻豆穿越,国产亚洲91在线,国产精品欧美久久久久一区二区

滲透基本流程

時間:2022-05-28點擊次數(shù):770

滲透是指網(wǎng)絡安全專業(yè)人員模擬黑客入侵攻擊目標,以評估目標的安全防御能力。一般分為:黑盒滲透試驗、白盒滲透試驗、灰盒滲透試驗。

滲透的類和組織的使用和范圍,以及他們是否想模擬員工、網(wǎng)絡管理員或外部來源的攻擊。在黑盒滲透中,人員沒有獲得大量關于他將的應用程序的信息,人員有責任收集目標網(wǎng)絡、系統(tǒng)或應用程序的信息;在白盒滲透中,人員將獲得完整的網(wǎng)絡、系統(tǒng)或應用程序信息和源代碼、操作系統(tǒng)的詳細信息和其他所需信息。它可以被視為模擬內部來源的攻擊;在灰盒滲透中,人員將具有應用程序或系統(tǒng)的部分知識。因此,它可以被認為是外部黑客的攻擊,黑客已經(jīng)非法訪問了該組織的網(wǎng)絡基礎設施文件。

從實際滲透人員的角度來看,實施過程中的一般滲透過程是什么?一般可分為目標確認、信息收集、漏洞發(fā)現(xiàn)、漏洞利用、內網(wǎng)滲透權限維護、目標獲取痕跡清理等過程。

一、目標確認

目標確認是指明確滲透的目標(獲取權限還是獲取數(shù)據(jù)?)、范圍、時間、限制等。這個目標有兩個含義。簡單地說,較終的目標是什么?我想得到什么?

二、信息收集

信息收集:明確目標后,收集目標范圍內的各種信息。當你第一次接觸滲透時,你可能聽過這樣一句話:滲透的本質是信息收集。是的,為什么要收集信息?因為不收集信息,攻擊范圍會很窄,盯著現(xiàn)成域名或者一個IP,這就像殺死自己一樣。在實際的項目中,我經(jīng)常遇到一些同事帶著問題來找我,說他們不能繼續(xù)做,不能繼續(xù)深入,通常在這個時候,我會告訴他們,當你不能再做了,然后繼續(xù)回去做信息收集,看看你錯過了什么。

那么我們在信息收集的時候要做收集哪些信息呢?怎么收集呢?信息要收集:域名、子域名、IP及端口、IP域名反向檢查、服務提供商、應用服務系統(tǒng)版本、域名歷史分析IP、框架語言、開源情報、防御措施等。

目前市場上有很多信息收集工具,可以根據(jù)自己的喜好進行選擇。

三、發(fā)現(xiàn)漏洞

漏洞發(fā)現(xiàn):目標應用系統(tǒng)的漏洞是在信息收集的基礎上發(fā)現(xiàn)的。漏洞發(fā)現(xiàn)我為大家整理了四個方面:

框架組件公開漏洞:根據(jù)使用的框架組件版本,找到公開漏洞進行驗證payload,通過手動或工具驗證漏洞。一般來說,這種漏洞有很多漏洞。

傳統(tǒng)漏洞:如xsssql注入ssrf對于傳統(tǒng)的網(wǎng)絡安全漏洞,這部分可以用手工或工具來識別,以每個人對漏洞的掌握程度。

密碼漏洞:對系統(tǒng)登錄入口點進行密碼攻擊。

代碼審計0day:在開源或未開源的情況下,獲取目標應用系統(tǒng)源代碼并進行代碼審計

四、利用漏洞

利用漏洞:利用發(fā)現(xiàn)的目標漏洞,利用漏洞獲得目標系統(tǒng)的權限。

由于不同漏洞的特點,漏洞使用不同,漏洞使用一個人對漏洞理解的深度,漏洞發(fā)現(xiàn)非常不同,在滲透過程中有效攻擊目標,需要充分了解每個漏洞的使用,越好,所以我們可以應對不同的場景,建議你在經(jīng)典Web漏洞的基礎上,針對每種漏洞通過搜索漏洞名稱 利用方式(如SQL不斷深入學習,關注各種公共漏洞,學習各種安全自動化工具的原理,如通過學習SQLMAP源碼學習SQL注入使用,學習XSS平臺使用代碼學習XSS利用。

五、維護權限

權限維護和內網(wǎng)滲透:進入目標內容,橫向擴展,接近滲透目標

六、目標獲取

目標獲取、痕跡清理:獲取滲透目標權限或數(shù)據(jù),返回數(shù)據(jù),進行痕跡清理。

以上是對滲透試驗過程作者的總結。值得注意的是:1.不要在滲透試驗過程中進行ddos攻擊,不破壞數(shù)據(jù)。2.重要數(shù)據(jù)在前備份。任何都必須在執(zhí)行前與客戶溝通,以避免不必要的麻煩。3.鏡像環(huán)境可以生成原始系統(tǒng),然后鏡像環(huán)境。4.明確滲透試驗范圍。



http://m.ytzgh.org.cn

上一篇:Web滲透流程

產(chǎn)品推薦

三台县| 济南市| 富蕴县| 西和县| 三明市| 东阳市| 略阳县| 贞丰县| 黄浦区| 胶州市| 儋州市| 德保县| 岳阳县| 无锡市| 察雅县| 阜阳市| 鄂托克前旗| 河曲县| 正定县| 报价| 土默特右旗| 涞水县| 阿图什市| 牙克石市| 文安县| 平江县| 邵阳市| 牙克石市| 托里县| 肇州县| 平舆县| 若尔盖县| 正蓝旗| 盱眙县| 扶沟县| 景洪市| 昔阳县| 宜州市| 开平市| 九江市| 肥乡县|