渗透测试流程和网络攻击
渗透测试简介: 渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。 渗透测试流程: 测试范围确定->测试时间确定->可接受的测试底线->信息收集->漏洞发现->漏洞利用->后渗透测试->文档编写 PTES标准渗透测试流程 : 前期交互阶段->情报收集阶段->威胁建模阶段->漏洞分析阶段->渗透攻击阶段->后渗透攻击阶段->撰写报告阶段 WEB应用渗透测试流程 : 洛克希德・马丁定义的“杀伤链”(网络杀伤链): 侦查跟踪:攻击者搜寻目标的弱点,具体手段如收集钓鱼攻击用的登陆凭证和信息 武器构建:使用漏洞和后门制作一个可以发送武器的载体 载荷投递:将网络武器包向目标投递,如发送一封带有恶意链接的欺诈邮件 漏洞利用:在受害者的系统上运行利用代码 安装植入:在目标位置安装恶意软件 命令和控制:为攻击者建立可远程控制目标系统的路径 目标达成:攻击者远程完成其预期目标 APT攻击(高级持续性威胁) :指的是由攻击者准备的高级攻击行动,这里不包括一般的攻击行为,例如网站挂马、加外链等;任何APT攻击的基本原则包括详细的准备和逐步战略,在这里,我们将APT攻击所设计的阶段的序列(称为杀伤链)。 杀伤链的相关步骤: 侦察阶段->工具选择(武器化阶段)->钓鱼阶段->载荷投递阶段->感染阶段->内网移动阶段->目标行动阶段 网络杀伤链攻击流程: 科来 :信息收集->网络入侵