一.渗透测试的种类

黑盒测试:

对客户组织一无所知的进行渗透测试,黑盒顾名思义,看不见里面的内容。也称为外部测试,完全模拟外部攻击者进行攻击。同时还可以对目标组织内部安全团队进行测评,这是比较费时费力的,需要具有较高的技术能力。

白盒测试:

也称为内部测试,可以了解到目标环境的所有底层和内部知识,如果实施到位,白盒测试比黑盒测试可以消除更多的隐患和漏洞,流程与黑盒测试相似,但是无法有效地测试客户组织的应急响应程序。

灰盒测试:

以上两种测试的组合,发挥各自的优势。

二.方法和流程

1.前期交互阶段

2.情报搜集阶段

3.威胁建模阶段

4.漏洞分析阶段

5.渗透攻击阶段

6.后渗透攻击阶段

7.报告阶段

三.Melasploit

是一个渗透测试框架软件,体系框架,perl语言,先已经更新多版

包括1.基础库文件

2.模块

3.插件

4接口

5.功能程序

四.实践作业

1.Samba服务usermap_script安全漏洞

samba用户名映射脚本

漏洞的时间线:

  • 2007年5月7日:漏洞匿名披露到security@samba.org电子邮件列表中。
  • 2007年5月7日:Samba的开发人员Gerald Carter开始响应这个漏洞。
  • 2007年5月9日:Samba的开发者Jeremy Allison发布了补丁,用于iDefense测试。
  • 2007年5月10日:向vendor-sec邮件列表发布通知。
  • 2007年5月14日:公开漏洞信息。

 

posted on 2018-02-11 21:30  zero_to_one  阅读(96)  评论(0编辑  收藏  举报