侵入侵入テストの手順:
まず、侵入テスト注:
1、禁止悪意のある攻撃
2は、認証取得に注意を払う
、3を記録処理に注意を払います
第二に、侵入テスト条件:
1、POCは:通常、プログラムコードの一部であるかどうかを確認脆弱
2利用(エクスプロイト):
攻撃の使用である悪用
3,0day:
エクスプロイトの危険は、その事業のシステムであり、パッチお金を公開それは把握やオープン抜け穴ことだった前に
4、ホワイトボックステスト:ホワイトボックステストは、テストケースの設計方法である、ボックスがテストされているソフトウェアを指し、ボックスは、あなたがボックス内に表示さ知っている白い箱を指し、そしてどのように何かが内部で動作
5、ブラックボックステスト:それは、各マスタ機能を検出するためのテストを通じてであることは、テストでは、通常利用可能である、プログラムは、プログラムの内部構造を考慮せずに、ブラックボックスとして開くことができません。ケースここでテスト・プログラム・インターフェースの内部特性
第三に、侵入テスト実行処理:
(1)情報収集:
1、子ドメイン
2、情報開示
3、DNS情報
4、WHOIS情報
5、IP範囲
防御機構を識別するために6
(2)、情報収集-ポートスキャン
1オンラインホストが検出
ピング走査の、2
3、NmapのTCP / UDP / ACK / SYN スキャニング
。4、Windowsのスーパースキャン
(3)、指紋識別
1、Webサーバコンポーネント指紋
2、システムの指紋
3、システムサービス指紋
4、Nmapのフィンガープリント使用して
脆弱性が発見分析活用、(4)
1を、Webサービスコンポーネントは、/ nginxの脆弱性ようとしてApache
サーバシステムが脆弱性、2
3、ウェブ抜け穴
(5)、ウェブ/システムは/利用
システムEXP直接右言及
2を、WebサーバEXP右言及
ウェブシェルを得るために3、ウェブの脆弱性
。4、ソーシャルワーカーは、
(6)、右提供するウェブシェル
殻取り、一方を
現在の実行権限を参照、2
3を、システムの悪用は、システムへの権利を言及する
(図7)、取付点右後部ドアを持ち上げた後に
1を隠蔽
2、アップデートのタイミング
3、殺すために自由に
(8)、ログがクリアさ
1を、迷彩、ログの削除ツールを使用したい隠れて
、2をアラームトリガー避けるため
の異なるシステムの異なるメカニズムを持つ3つの別々の契約
期間に応じて4を、関連するログファイルを見つける
厳しい、5
( 9)、出力は加算
、1。WIKI
2、要約した要約
3、白は無駄にしない、話すことができない
4、沈殿の出力を