1. Introdução ao teste de penetração
O teste de penetração não possui uma definição padrão.Um ditado comum de algumas organizações de segurança estrangeiras é que o teste de penetração é um método de avaliação que avalia a segurança dos sistemas de redes de computadores, simulando o método de ataque de hackers mal-intencionados. Esse processo inclui uma análise ativa de quaisquer pontos fracos, defeitos técnicos ou vulnerabilidades do sistema.Esta análise é conduzida a partir de um local em que um invasor pode existir e, a partir desse local, explora ativamente as vulnerabilidades de segurança.
Em outras palavras, o teste de penetração refere-se ao pessoal de penetração que utiliza meios diferentes para testar uma rede específica em locais diferentes (como da rede interna, locais externos etc.), com o objetivo de descobrir e descobrir vulnerabilidades no sistema e, em seguida, emitir um relatório de teste de penetração, E envie-o ao proprietário da rede. Com base no relatório de teste de penetração fornecido pelo pessoal de penetração, o proprietário da rede pode conhecer claramente os riscos e problemas de segurança no sistema.
2. Processo de teste de penetração
- Determinar a coleção de informações de diretório
- Verificação de vulnerabilidade de detecção de vulnerabilidades
- Relatório de preparação de informações - agrupamento
- Obtenha o que você precisa para analisar as informações
3. Introdução da terminologia de segurança
1. Script (asp, php, jsp) 2 , HTML (css, js, html) 3 , protocolo HTTP 4 , CMS (B / S) 5 , MD5 / salt (slat) 6 , frangos de corte, frango, DDOS, cc 7 , uma frase, pônei, malásia, webshell, escalonamento de privilégios, backdoor, trampolim, rookit 8 , pacote de código-fonte, calças, tirania 9 , sniffing, rootkit, assistente social 10 , poc, exp, cve 11 , src Platform, 0day 12 , vulnerabilidades baseadas em eventos, vulnerabilidades de uso geral 13 , servidores web, contêineres web, middleware
4. Configuração do ambiente de teste de penetração (máquina de destino)