网络安全

渗透测试标准PTES:

 　　 1.前期交互阶段：确认渗透测试范围，目标，限制条件。

 　　 2.情报收集：　　获取目标配置信息，扫描，社会工程学.

 　　 3.威胁建模：　　针对获取的信息，进行威胁建模和攻击规划。

　　  4.漏洞分析：　　确认出可行的攻击通道.

 　　 5.渗透攻击：　　利用目标漏洞,进行攻击提权。

　　  6.后渗透：　　　保持对目标的控制权,利用被控制目标，对目标组织进行进一步的渗透.

 　　 7.测试报告：　　提交测试报告,取得认可,获取酬劳。

 

渗透测试类型：

 　　黑盒测试:对方未给出任何信息的条件下.完全模拟黑客的攻击测试.

 　　白盒测试:对方给你完全的信息的条件下进行测试.

 　　灰盒测试:只给出一部分信息的情况下进行模拟攻击测试.

 

OWASP TOP 10

　　1.SQL注入漏洞

　　2.失效的身份认证

　　3.敏感数据泄露

　　4.XXE外部实体注入

　　5.失效中断的访问控制

　　6.安全配置错误

　　7.XSS跨站脚本攻击

　　8.不安全反序列化漏洞

　　9.已知组件安全漏洞

　　10.不足的记录和监控漏洞

 

 信息安全三要素CIA:

　　1.机密性Confidentiality

　　2.完整性Integrity

　　3.可用性Availability

 

杀毒软件核心：

　　1.简单的特征码：简单字符串查找

　　2.广谱特征码：正则表达式匹配

　　3.启发式查杀：对敏感区域监控

　　4.云查杀：将本地文件上传服务器查杀，AV虚拟机模拟运行(模拟程序在内存中运行)

　　5.人工智能：