目录

前言

渗透测试与入侵的最大区别

常规渗透测试流程

一、明确目标

二、信息收集

三、漏洞探测

方法

内容

四、漏洞验证

五、信息分析

六、获取所需

七、信息整理

八、形成报告

流程总结

前言

WEB安全渗透测试不是随便拿个工具扫一下就可以做的, 要了解业务还需要给出解决方案。

渗透测试与入侵的最大区别

渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。

入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。

常规渗透测试流程

明确目标>信息收集>漏洞探测>漏洞验证>信息分析>获取所需>信息整理>形成报告

一、明确目标

确定范围:测试目标的范围,ip,域名,内外网。

确定规则:能渗透到什么程度,时间?能否修改上传?能否提权等。

确定需求:web应用的漏洞(新上线程序)?业务逻辑漏洞(针对业务的)?人员权限管理漏洞(针对人员、权限)?等等。(立体全方位)