4000-110-253
完整的滲透測試流程介紹. 2021-12-23
一、授權
客戶先授權委托,同意進行(xíng)滲透測試。在測試前可(kě)以将實施方法、實施時(shí)間(jiān)、實施工具以及實施方案提交給客戶,在得(de)到客戶相關的授權後才可(kě)以進行(xíng)。
二、信息收集
信息收集是每一步滲透攻擊的前提,通(tōng)過信息收集可(kě)以有(yǒu)針對性地制(zhì)定模拟攻擊測試計(jì)劃,提高(gāo)模拟攻擊的成功率,同時(shí)可(kě)以有(yǒu)效的降低(dī)攻擊測試對系統正常運行(xíng)造成的不利影(yǐng)響。
三、內(nèi)部計(jì)劃制(zhì)定、二次确認
根據客戶設備範圍和(hé)項目時(shí)間(jiān)計(jì)劃,并結合前一步初步的信息收集得(de)到的設備存活情況、網絡拓撲情況以及掃描得(de)到的服務開(kāi)放情況、漏洞情況制(zhì)定內(nèi)部的詳細實施計(jì)劃。
四、取得(de)權限、提升權限
初步信息收集分析,主要有(yǒu)兩種可(kě)能,一種目标系統有(yǒu)重大(dà)的安全弱點,滲透測試能直接控制(zhì)目标系統。另一種是目标系統沒有(yǒu)遠程重大(dà)安全弱點,這就要進一步收集目标系統信息。通(tōng)過不停的信息收集分析,并對其權限提升便是整個(gè)滲透測試過程。
/
