测试流程

0X03 渗透测试流程

  1. 准备阶段:确定目标以及人员,日期等
  2. 信息收集阶段:收集网站所有有用信息
  3. 渗透测试阶段:找到漏洞并进行利用
  4. 分析阶段:分析漏洞的原因并给出漏洞修复的方法
  5. 攥写报告:整理渗透测试数据,完成渗透测试报告

不过:

每个人的渗透测试过程不太一样,思路也不一样,但最终的目的都是一样的,那就是找到网站的漏洞,然后利用漏洞获得权限和敏感数据。

个人的渗透流程:

  • 收集网站信息

    • ip
    • whois
    • 端口扫描
    • 二级域名(推荐个爆破二级域名脚本,很好用:subDomainBrute.py
    • 服务器,数据库,操作系统,开启的服务等

  • 漏洞扫描

    • 利用找到的网站信息对网站进行初步测试
    • 对网站利用工具进行扫描(感觉WVS最好用,就是慢,其他的工具如Safe3,Webcruiser,Jsky也比较好用,感兴趣自己可以去试试)
    • 手工测试网站是否存在漏洞

  • 漏洞利用

    • 对扫到的或者手工找到的漏洞进行利用,进一步提权。

  • 总结

    • 对渗透的过程作一个总结和思考

posted on 2017-09-21 14:47  hcguo  阅读(132)  评论(0编辑  收藏  举报