完整的渗透测试流程介绍. 2021-12-23
一、授权
客户先授权委托,同意进行渗透测试。在测试前可以将实施方法、实施时间、实施工具以及实施方案提交给客户,在得到客户相关的授权后才可以进行。
二、信息收集
信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
三、内部计划制定、二次确认
根据客户设备范围和项目时间计划,并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内部的详细实施计划。
四、取得权限、提升权限
初步信息收集分析,主要有两种可能,一种目标系统有重大的安全弱点,渗透测试能直接控制目标系统。另一种是目标系统没有远程重大安全弱点,这就要进一步收集目标系统信息。通过不停的信息收集分析,并对其权限提升便是整个渗透测试过程。
http://www.wonderonline.cn/