公告:123目录网为广大站长提供免费收录网站服务,我们将免费进行到底,如需快审服务(10元/站)请联系站长QQ,可自助充值发布。

点击这里在线咨询客服
新站提交
  • 网站:346
  • 待审:6
  • 小程序:12
  • 文章:35791
  • 会员:89

对于客户的渗透测试来说,在进行前与用户沟通某些有关事项是非常必要的:首先是渗透测试的目的:用户这次的需求是什么?等待保险、日常食品安全检查或者其他目的,不同的目的决定了不同的漏洞评估等级,在测试过程中也感受到不同的方法。二是渗透测试总体目标:总体目标通常分为服务器和区块链,这两个总体目标的渗透大致相同。做半导体的渗透测试,还要辨别移动支付web的服务器。往往在智能交通渗透失败的时候,我们可以从服务器层面突破,反之亦然。第三是总体目标环境:通常我们的渗透测试会在两个环境下进行,一个是生产环境,一个是测试环境。不同的环境对渗透测试有不同的要求。假如是生产环境,我们还要防止DoS拒绝服务、跨站脚本攻击等可能造成服务中断或延迟服务响应的攻击;其次,生产环境的测试周期还要选择在非业务高峰期;在生产环境中进行渗透测试时,还还要防止向总体目标插入、删除或修改数据。

沟通完以上,就可以进行技术测试了。技术测试的这一部分是一个常见的话题。事实上,当你有渗透测试用例的时候,你会发现这部分技术测试是:1。常规操作;2.“琐碎”思维的奇思妙想;3.毅力。我们还是从流程上贯穿整个技术测试:第一步是信息收集,记住做信息收集的时候要考虑渗透测试的目的。子域名搜集:还要留意这一步是否有必要。如果用户的目的只是为了测试一个域名的安全性,那么做子域名搜集意义不大。如果是为了某个目的要求渗透个广告,就要做子域名搜集。搜集子域的方法往往是DNS漏洞、蛮力破解、cdn加速和查询等。对于部分渗透,边站查询也是一种思路。很多客户想要对自己的互联网进行渗透测试服务可以去网上看看,目前像国内的SINESAFE,鹰盾安全,广联达,京东数字,都是做安全的大公司。

IP地址信息收集:c、b段主要用于总体目标来IDC机房或自建私有云存储。如果是云环境,可以关注私钥或Token的泄露。在本文的最后,我放了某些关于云环境渗透的参考资料。商场及服务信息:主要通过相关工具扫描,如nmap、masscan。敏感目录和相对路径:留意借助平时搜集的字典和工具辨别回报的;网络瓶子和web单元可以通过某些系统字体或平板电脑来识别。CMS:这种更重要。通常大客户要么是自己开发的系统,要么是成熟的CMS系统。我们搜集这些信息是为了方便我们查询已知的漏洞以进行进一步的攻击;其他信息:还有账号密码、Token、akm/索尼信息、历史漏洞、历史漏洞中的敏感信息等信息,主要通过搜索引擎和网络平台(twitter是主要渠道)搜集。搜集信息更重要的是在平时的字典和工具库的搜集,以及搜集信息的灵活。

标签:[db:tags]

下一篇:企业官网建设栏目内容应当如何规划?

上一篇:如何选择合适自己的模板建站

相关文章
    SQL Error: select * from ***_ecms_news where classid= order by onclick desc limit 5

  575

注册时间:

网站:1 个   小程序:3 个  文章:12 篇

  • 346

    网站

  • 12

    小程序

  • 35791

    文章

  • 89

    会员

赶快注册账号,推广您的网站吧!
最新入驻小程序

数独大挑战2018-06-03

数独一种数学游戏,玩家需要根据9

答题星2018-06-03

您可以通过答题星轻松地创建试卷

全阶人生考试2018-06-03

各种考试题,题库,初中,高中,大学四六

运动步数有氧达人2018-06-03

记录运动步数,积累氧气值。还可偷

每日养生app2018-06-03

每日养生,天天健康

体育训练成绩评定2018-06-03

通用课目体育训练成绩评定