制定网站渗透测试服务项目、网站渗透测试的前期准备标准。
网址做渗透测试服务项目的提前准备标准芒果云、百度站长工具梳理了贵网站渗透测试服务项目提前准备标准的相关内容。
对于客户的渗透测试,需要在上线前与客户沟通一些相关事宜:一、渗透测试的目的:这次客户的要求是什么?等商业保险,平时安全检查还是其他目的,不同的目的决定了不同的系统漏洞评估等级,在整个测试过程中感受的方式也不同。二、渗透测试的总体目标:总体目标一般分为网络服务器和系统软件,这两个总体目标的渗透方式基本相同。做系统软件的渗透测试,还需要识别系统软件的后端网络服务器。通常当系统软件渗透不成功时,我们可以从服务器端升级,反之亦然。三是整体目标自然环境:一般每个人的渗透测试都会在两个自然环境下进行,一个是工作环境,一个是测试自然环境。不同的自然环境有不同的渗透测试规则。如果是工作环境,还要避免DoS拒绝服务攻击、跨站脚本攻击等攻击。,很可能导致服务项目终止或延迟服务项目的响应;其次,工作环境的测试周期时间也要选在非业务流程高峰时段;当在工作环境中进行渗透测试时,还需要避免插入、删除或更改总体目标的数据信息。
在不同的一般目标自然环境下,渗透测试也会遇到一个难题,就是如何浏览一般目标自然环境。一般来说,我们可以立即测试对互联网技术开放的生产系统或网络服务器;但如果客户测试的总体目标是内部系统软件或网络服务器,尤其是测试自然环境,就不能马上浏览互联网技术。目前我们有几种选择:一是去客户网站进行渗透测试,二是通过VPN或者IP地址连接授权管理进行连接。记住,如果在家里做渗透测试,建议买云服务器显示公网IP,因为这种IP地址是固定的,家里的宽带一般都是动态IP地址,所以客户一般不应该允许这种动态IP地址连接。第四是实施时间:第三点我也提到了这一点,关键是要和客户确定,尤其是工作环境。五、风险规避计划:通过与客户协商制定出的好的风险规避计划,会帮助你解决整个测试过程中的各种突发情况。进行备份并制定应急计划,以便在紧急情况下修复系统;做好实验期间的安全防范工作,如有异常立即关机。
沟通结束后,即可进行技术测试。技术测试的这一部分是一般性的话题讨论。事实上,如果你有渗透测试案例,你可以发现这些技术测试是:1。基本 *** 作;2.“零碎”逻辑思维的脑洞;3.毅力。让我们一步步来关注所有的技术测试:第一步是信息收集,记住在做信息收集的时候要考虑到渗透测试的目的。二级域名收集:还要注意这一步是否有必要。如果客户的目的只是为了更好的测试一个网站域名的安全系数,那么收集二级域名的实际意义不大。如果是为了更好的目的,收集二级域名是有必要的。收集子域的方法通常有DNS系统漏洞、暴力破解、DNS分析检查等。对于一些渗透,边站查也是一种思路。很多想在自己的网站上进行渗透测试服务的客户可以在网上看看。目前中国的SINESAFE、鹰盾安全、深信、启明星辰都是大的安全公司。
IP地址信息收集:C段和B段是IDC机房或建设私有云存储总体目标的关键。如果是云自然环境,可以关注公钥或者令牌的泄露。在本文的最后,我提出了一些关于云自然环境渗透的参考文献。港口服务项目信息:基于相关专用工具扫描仪,如nmap和masscan。比较敏感文件目录和绝对路径:注意依靠常用收集的字典和特殊工具识别收入的方法;互联网用具和后端开发组件可以根据一些浏览器或扫描仪进行识别。CMS:这种比较关键。一般大客户要么是自研系统软件,要么是完善的CMS系统软件。我们收集这些信息是为了让我们更容易检查已知的系统漏洞,以便进一步攻击;其他信息:还有账号密码、Token、AK/SK信息、历史时间系统漏洞、历史时间系统漏洞中的敏感信息等。关键信息根据百度搜索引擎和第三方平台收集(GitHub是关键途径)。信息收集的关键是常用词典和专用工具库的收集,以及收集信息的简便方法。
之上便是有关对网址做渗透测试服务项目的提前准备标准的详解。热烈欢迎大伙儿对网址做渗透测试服务项目的提前准备标准內容明确提出意见与建议欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)