想问一下大家都是怎么做渗透测试的呢?
我也是从13年开始接触的,时间也不是很长,也没有说成为了高手,只是我们情况很相近,所以谈谈我自己的学习方法,看看有没有你可以借鉴的地方。你已经在安全公司工作了,看了一下,你是做安全服务,而你想做渗透测试,那么你可以这么做。
安全测试、渗透测试、安全渗透测试。。乍一看到这么多相似的概念,感觉晕晕的。今天主要沉淀一下自己对渗透测试的理解,同时希望对大家也有所帮助。首先,安全测试是侧重于应用程序所面对对安全威胁而进行的有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。
渗透测试分为两种基本类型,白盒测试和黑盒测试。白盒测试 也被称为白帽测试,是指渗透测试者在拥有客户组织所有知识的情况下所进行的测试。使用白盒测试,需要和客户组织一起工作,来识别出潜在的安全风险。
渗透测试需要学那些知识?
学成能独立完成web层面渗透,修复,能在web架构层面提供安全解决方案的样子就可以找工作了,一般的话,全日制脱产学习网络安全课程需要4个月左右,渗透测试阶段的内容学习大概20天,当然,这些仅供参考。学成WEB前端开发的必要因素,一样都不可以少:自主学习的能力,自己不动,谁都帮不了你。
在快速变化的网络安全环境中,持续学习是保持领先的关键。渗透测试人员需关注行业动态,参加研讨会、培训课程,获取最新的安全漏洞知识和防护技术,这样才能始终站在防御技术的前沿。最后,道德操守是职业的灵魂。
指纹识别 - 网站信息识别:通过可访问的资源,如网站首页,查看源代码,判断是否存在文件遍历的漏洞。- 框架识别:判断网站是否使用了存在漏洞的框架。0漏洞扫描 - 主机扫描:使用Nessus等工具进行经典主机漏洞扫描。- Web扫描:使用AWVS进行Web漏洞扫描。
渗透测试的基本流程如下:步骤一:明确目标。确定范围:规划测试目标的范围,以至于不会出现越界的情况。确定规则:明确说明渗透测试的程度、时间等。确定需求:渗透测试的方向是web应用的漏洞?业务逻辑漏洞?人员权限管理漏洞?还是其他,以免出现越界测试。步骤二:信息收集。
通常认为,渗透测试是安全评估最终的也是最具侵犯性的形式,它必须由符合资质的专业人士实施。在进行评估之前,有关人员可能了解也可能不了解目标的具体情况。渗透测试可用于评估所有的IT基础设施,包括应用程序、网络设备、操作系统、通信设备、物理安全和人类心理学。渗透测试的工作成果就是一份渗透测试报告。
0条大神的评论