渗透测试主要流程
明确需求阶段:
和客户进行沟通,做渗透测试的程度?为什么要做渗透测试?做渗透测试中需要注意哪些避讳?客户的业务主要是什么?最关注什么?测试范围,哪些能测,哪些不能测?确定好测试的时间地点接待人等?免罪金牌(商量好出事故的责任承担)?
信息收集阶段:
收集所有的公开的信息并且分析,
查网站IP?网站操作系统?脚本语言?在该服务器上有没有其他的网站?
威胁建模阶段:
根据收集到的信息拟定各种破坏方案,例如你是做收费软件的,那我们就尝试窃取客户开发并且实际测试过的软件源代码,如果源代码被公开,公司业务就会瓦解。
漏洞分析阶段:
根据收集到的信息去猜测可能存在的漏洞?以及根据工具加上个人分析去发现可能存在的漏洞?
漏洞验证阶段:
利用自己的专业知识对前两步的漏洞进行验证?
深度攻击阶段:
根据找到的漏洞进行扩展性破坏,漏洞有害性的放大?可能客户对你破解了一个用户的密码并不感冒,但是会很关注你利用破解的用户去登录该系统窃取所有信息,并销毁重要文件以达到摧毁系统的发现。
书面汇报阶段:
文档化的记录该次渗透测试
