网络渗透

渗透测试流程和网络攻击

匿名 (未验证) 提交于 2019-12-02 23:52:01
渗透测试简介: 渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。 渗透测试流程: 测试范围确定->测试时间确定->可接受的测试底线->信息收集->漏洞发现->漏洞利用->后渗透测试->文档编写 PTES标准渗透测试流程 : 前期交互阶段->情报收集阶段->威胁建模阶段->漏洞分析阶段->渗透攻击阶段->后渗透攻击阶段->撰写报告阶段 WEB应用渗透测试流程 : 洛克希德・马丁定义的“杀伤链”(网络杀伤链): 侦查跟踪:攻击者搜寻目标的弱点,具体手段如收集钓鱼攻击用的登陆凭证和信息 武器构建:使用漏洞和后门制作一个可以发送武器的载体 载荷投递:将网络武器包向目标投递,如发送一封带有恶意链接的欺诈邮件 漏洞利用:在受害者的系统上运行利用代码 安装植入:在目标位置安装恶意软件 命令和控制:为攻击者建立可远程控制目标系统的路径 目标达成:攻击者远程完成其预期目标 APT攻击(高级持续性威胁) :指的是由攻击者准备的高级攻击行动,这里不包括一般的攻击行为,例如网站挂马、加外链等;任何APT攻击的基本原则包括详细的准备和逐步战略,在这里,我们将APT攻击所设计的阶段的序列(称为杀伤链)。 杀伤链的相关步骤: 侦察阶段->工具选择(武器化阶段)->钓鱼阶段->载荷投递阶段->感染阶段->内网移动阶段->目标行动阶段 网络杀伤链攻击流程: 科来 :信息收集->网络入侵

信息安全——跳入坑里的第一步(面向萌新)

蹲街弑〆低调 提交于 2019-11-30 16:13:57
从最开始学这个专业开始已经过了有两年了,虽然技术不咋的,但是对这个专业还是有点自己的想法。 现在呢,为了帮学校出去比赛啥的,还是写点教程,一方面是帮后面的学弟们快速入门,另一方面是记录下自己所学的一些知识,所以这些东西也是基于信息安全的比赛写的。 行了,不说多了,直接开始。 根据比赛赛题的相关内容和自己学习时走的弯路,果然还是要优先说明一下要学哪些东西,这些东西先后顺序的话是由浅入深,至于自己的学习进度就自己安排。 第一部分:入门级 一:系统 1.windows windows这玩意说实话大家都会用,现在基本都是用win10,可能有的还在用win7,中间夹着的win8估计没啥人用。。。不过这不是重点,那么明明大家都会用的系统为啥要在这里提到,原因嘛,,,比赛需要。。。(感觉说了一堆废话) 平时大家用的都是一些windows的基本操作,甚至可能很多东西都是用鼠标完成(没错,就是传说中的“增删改查”),比赛时远程终端用的比较多,而终端的系统版本和包含的内部环境是不会在发布赛题这段时间之前公布的,鉴于这种不确定性,考虑使用纯命令界面是最安全的,这就要熟练的使用命令提示符。 当然,虽然命令提示符基本可以解决一切问题,但是系统版本是一个很重要的事,就目前来看,比赛时可能会出现的系统主要是老系统,比如2003server这种。。。(好吧其实我也想吐槽,都快0202年了,还在用十几年前的东西)

细谈测试---我的启示录

╄→гoц情女王★ 提交于 2019-11-27 08:17:33
小时候对测试不很重视,比如让你做一件事,你会考虑其风险,别的因素吗。当你埋头只顾自己写软件代码,发布软件,就完事啦。但事实并非如此,对方说你的网站有漏洞,或者软件注册码容易破解,这些你并不知道。跟客户打交道,客户不是说做完项目就完事啦,往往要一个月维护。或者测试一下。意外的情况也很多,这些你绝对没想到。软件的bug如何产生的,在你写之前就产生。人的思维并非绝对的。往往是相对的,人们总喜欢自以为是,"I,M GOOD......"但测试离不开实践,不犯错误是不可能的。 软件测试就像给人诊断 软件测试 的过程其实很像给人看病的过程 首先,你看到一个人的症状的时候,就是看到了这个bug, 然后通过这个bug可以联想到某种病 通过对于这个种病的联想 你可以查看有关这种病的关联性bug是否在这个人的身上也都存在, 如果这种病的关联性的bug都存在 那么就可以很肯定的说,这个人是得了这个病。 。。。。 当修复了这个bug之后, 你应该把有关这个病的所有bug都验证一遍, 并且最好把全身都检查一遍,以确保没有影响到整个人 软件测试就像是向上帝祷告 你究竟有罪没有,牧师有时会问你有没有罪,求上帝宽恕 按照上帝说:“世人皆有罪,唯有上帝是洁净的” 软件产品代码bug,是存在的。 软件测试就像测试人生 如,一个故事----我为什么没升职 到公司 工作 快三年了,比我后来的同事陆续得到了 升职 的机会

渗透测试的流程

三世轮回 提交于 2019-11-27 03:30:37
渗透测试流程阶段概述 前期交互阶段(查看网站了解大概功能和页面)、 情报搜集阶段(收集网络、域名、系统、应用程序等信息)、 威胁建模阶段(对收集的信息进行分析建模)、 漏洞分析阶段(对发现的漏洞进行分析验证)、 渗透攻击阶段(利用验证成功的漏洞进行攻击)、 后渗透攻击阶段(如果保持控制,维持访问)、 报告阶段(完成渗透测试报告,漏洞情况及修补建议)。 攻击三个阶段 攻击前:网络踩点、网络扫描、网络查点 攻击中:利用漏洞信息进行渗透攻击、获取权限 攻击后:后渗透维持攻击、文件拷贝、木马植入、痕迹擦除 来源: https://www.cnblogs.com/iAmSoScArEd/p/10472646.html