4000-110-253
滲透測試步驟應了解清楚. 2021-12-20
滲透測試一定要遵循軟件測試基本流程,要知道(dào)測試過程和(hé)目标特殊,在具體(tǐ)實施步驟上(shàng)主要包括以下幾個(gè),一起來(lái)了解下。
(1 )明(míng)确目标
當測試人(rén)員拿(ná)到需要做(zuò)滲透測試的項目時(shí),首先确定測試需求,如測試是針對業務邏輯漏洞,還(hái)是針對人(rén)員管理(lǐ)權限漏洞等;然後确定客戶要求滲透測試的範圍,如IP段、域名、整站(zhàn)滲透或者部分模塊滲透等。
(2)收集信息
在信息收集階段要盡量收集關于項目軟件的各種信息。例如,對于一個(gè)Web應用程序,要收集腳本類型、服務器(qì)類型、數(shù)據庫類型以及項目所用到的框架、開(kāi)源軟件等。信息收集對于滲透測試來(lái)說非常重要,隻有(yǒu)掌握目标程序足夠多(duō)的信息,才能更好地進行(xíng)漏洞檢測。
(3)掃描漏洞
在這一階段,綜合分析收集到的信息,借助掃描工具對目标程序進行(xíng)掃描,查找存在的安全漏洞。
(4)驗證漏洞
在掃描漏洞階段,測試人(rén)員會(huì)得(de)到很(hěn)多(duō)關于目标程序的安全漏洞,但(dàn)這些(xiē)漏洞有(yǒu)誤報,需要測試人(rén)員結合實際情況,搭建模拟測試環境對這些(xiē)安全漏洞進行(xíng)驗證。被确認的安全漏洞才能被利用執行(xíng)攻擊。
(5)滲透攻擊
滲透攻擊實際是對目标程序進行(xíng)的真正攻擊,為(wèi)了達到測試的目的,像是獲取用戶賬号密碼、截取目标程序傳輸數(shù)據等。通(tōng)過滲透測試是一次性測試,在攻擊完成後能夠完成執行(xíng)清理(lǐ)工作(zuò)。
/
