对于大中型企业网站渗透测试，你有哪些经验和建议？

服务器渗透测试的话分为几个层面进行测试的，如下：

一、内网扫描：扫描服务器代码漏洞等。

二、外网扫描：扫描目前市场已知漏洞等。

三、社会工程学扫描：排除人为的安全隐患因素。

渗透网站方法步骤一：需要能够对信息进行网络扫描收集。该方法步骤为如何渗透一个网站的准备环节步骤，大家需要能够打开相关的DOS窗口，接着进行使用ping来获取渗透网站的相关真实IP地址，这样就能轻松知道其渗透的网站是否有无丢包率，延迟时间往往需要为49；大家需要注意的是使用ping命令一方面就是为了能够进行获取IP地址，另外一方面就是想通过延迟时间来进行知道网络速度的快慢，这样才能便于后期对网站服务器口令的检测。
渗透网站方法步骤二：进行初步来获取渗透网站相关端口开放情况。当以上步骤完成后，还需要能够获取端口相关开放的情况，建议大家可以使用漏洞扫描系统sfind命令来进行获取渗透网站服务器的端口开放情况，通常服务器的开放端口包括有3389和2180等；在完成这步的时候也包括一些 *** 作技巧，
如：1、当发现渗透网站3389端口开放，该端口就为远程终端服务开放端口，大家从这些就应该能够断定出windows系列主机；
2、大家也可以使用3389远程终端连接器连接到渗透网站的IP地址中进行尝试直接登录，当进行登录成功就可以看到渗透网站 *** 作系统是windows2000 server还是windows2003 server了，便于进一步的渗透；
3、大家能够使用superscan以及x-scan等专业扫描软件来对端口进行扫描以便为进一步ssl漏洞渗透作准备，只不过提醒大家x-scan扫描软件的个头比较大，甚至整个扫描的 *** 作会相对复杂些，但是整个扫描结果却是比较全面的。
渗透网站方法步骤三：大家需要通过webshell进行查看文件。这个步骤也是如何渗透一个网站最关键的步骤，可以直接在webshell中输入密码后进行单击登陆按钮，当验证进行通过后就能正常使用这种webshell了，一般通过这步就能查看到渗透网站上所有文件了。
渗透网站方法步骤四：再通过serv-u进行提升权限。很多时候大家在webshell中进行单击serv-u提升权限功能，也就能直接进行权限提升的 *** 作界面中，在 *** 作界面中就能进行权限提升 *** 作了。
渗透网站方法步骤五：进行打开远程终端服务器，输入获取的用户名和密码。这是如何渗透一个网站最后一步，当成功进行登录后就表现整个渗透已经成功。

---