漏洞分析階段(漏洞分析的目的)
本文主要介紹漏洞分析階段(漏洞分析的目的),下面一起看看漏洞分析階段(漏洞分析的目的)相關(guān)資訊。
其實(shí)很多安全漏洞都屬于w測試就能驗(yàn)證。滲透測試是一種通過模擬黑客攻擊來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全性能的方法。這個(gè)過程是從攻擊者 s的觀點(diǎn),并有條件地主動利用安全漏洞。滲透測試沒有嚴(yán)格的分類方法。甚至在軟件開發(fā)生命周期中,也有滲透測試的環(huán)節(jié)。但根據(jù)實(shí)際應(yīng)用,一般認(rèn)為滲透測試分為兩類:黑盒測試和白盒測試。在黑盒測試中,滲透者對系統(tǒng)完全無知,而白盒測試與黑盒測試正好相反,滲透者在完全了解程序結(jié)構(gòu)的情況下進(jìn)行測試。但無論采用哪種測試方法,對測試的滲透都有以下特點(diǎn)。
(1)向測試滲透是一個(gè)漸進(jìn)的過程。
(2)滲透測試是一種不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊。
滲透測試步驟
滲透測試遵循軟件測試的基本流程,但由于其測試流程和目標(biāo)的特殊性,滲透測試在具體實(shí)施步驟上不同于常見的軟件測試。滲透測試過程主要包括八個(gè)步驟,如下圖所示:
圖片來自官網(wǎng),黑馬程序員
下面結(jié)合上圖描述每一步要完成的任務(wù)。
(1)明確的目標(biāo)
當(dāng)測試人員拿到需要滲透到測試的項(xiàng)目時(shí),先確定測試的需求,比如測試針對的是業(yè)務(wù)邏輯漏洞還是人事管理權(quán)限漏洞;然后確定客戶滲透測試的范圍,如ip段、域名、全站滲透或部分模塊滲透;最后確定測試規(guī)則的滲透力,比如能滲透多遠(yuǎn),是確定漏洞還是繼續(xù)利用漏洞進(jìn)行進(jìn)一步的測試,是否允許銷毀數(shù)據(jù),是否可以增強(qiáng)權(quán)威性等。在這一階段,測試人員主要對測試項(xiàng)目有一個(gè)整體和清晰的了解,便于測試計(jì)劃的制定。
(2)收集信息
在信息收集階段,盡量收集項(xiàng)目軟件的各種信息。比如一個(gè)w測試非常重要。只有掌握了足夠多的目標(biāo)程序信息,才能更好地檢測漏洞。
信息收集可以分為以下兩種。
①主動收集:通過直接訪問和瀏覽網(wǎng)站來收集所需信息,這樣可以收集更多的信息,但訪問者 的操作行為會被目標(biāo)主機(jī)記錄下來。
②被動收集:利用第三方服務(wù)了解標(biāo)的,如網(wǎng)上搜索相關(guān)信息。這樣獲得的信息比較少,不夠直接,但是目標(biāo)主機(jī)不會發(fā)現(xiàn)測試人員的行為。
(3)掃描漏洞
在這個(gè)階段,對收集到的信息進(jìn)行綜合分析,借助掃描工具對目標(biāo)程序進(jìn)行掃描,找出存在的安全漏洞。
(4)驗(yàn)證漏洞
在漏洞掃描階段,測試人員會得到許多關(guān)于目標(biāo)程序的安全漏洞,但這些漏洞是誤報(bào)的。測試人員有必要建立一個(gè)模擬的測試環(huán)境來驗(yàn)證這些安全漏洞。只有確認(rèn)的安全漏洞才能被利用來實(shí)施攻擊。
(5)信息分析
已經(jīng)驗(yàn)證的安全漏洞可以用來攻擊目標(biāo)程序,但是對于不同的安全漏洞,攻擊機(jī)制是不同的。針對不同的安全漏洞還需要進(jìn)一步分析,包括安全漏洞的原理、可用工具、目標(biāo)程序檢測機(jī)制、攻擊能否繞過防火墻等。,從而制定出詳細(xì)而精確的進(jìn)攻計(jì)劃,從而保證測試的順利實(shí)施。
(6)滲透攻擊
滲透攻擊是對目標(biāo)程序發(fā)起真正的攻擊,達(dá)到測試的目的,比如獲取用戶賬號密碼,攔截目標(biāo)程序傳輸?shù)臄?shù)據(jù),控制目標(biāo)主機(jī)。一般來說,測試對測試的滲透是一次性的。攻擊完成后,需要清理、刪除系統(tǒng)日志、程序日志等。,并抹去進(jìn)入系統(tǒng)的痕跡。
(7)組織信息
滲透攻擊完成后,將對攻擊中獲得的信息進(jìn)行整理,為以后撰寫《測試報(bào)告》提供依據(jù)。
(8)準(zhǔn)備測試報(bào)告。
測試建成后,將準(zhǔn)備測試報(bào)告來解釋該項(xiàng)目的安全測試攻擊目標(biāo)、信息收集、漏洞掃描工具、漏洞情況、攻擊方案、實(shí)際攻擊結(jié)果、測試過程中遇到的問題等此外,還要分析目標(biāo)程序的漏洞,提供安全有效的解決方案。
軟件評估報(bào)告請聯(lián)系王經(jīng)理,。更多信息請關(guān)注官方賬號:軟件評測聊天站。
了解更多漏洞分析階段(漏洞分析的目的)相關(guān)內(nèi)容請關(guān)注本站點(diǎn)。
如何將iphone手機(jī)鈴聲設(shè)置為歌曲(iphone怎么將鈴聲設(shè)置為歌曲)
2021年下半年值得入手的千元手機(jī)(2021年下半年千元手機(jī)推薦)
工業(yè)循環(huán)冷卻水系統(tǒng)(工業(yè)循環(huán)水冷卻機(jī)原因分析與處理)
華為筆記本選哪款好,華為筆記本 微軟筆記本 哪個(gè)好
固態(tài)u盤使用壽命如何,為什么不建議買固態(tài)u盤
漏洞分析階段(漏洞分析的目的)
二手手表回收市場價(jià)格,回收手表哪個(gè)平臺最好
蘋果游戲本哪個(gè)性價(jià)比高,蘋果筆記本電腦哪款性價(jià)比高玩大型游戲要好呢
sata電源線接法圖解,SATA硬盤電源 怎么接 SATA電源接線口接在硬盤上 4針D形接在那
華為榮耀怎樣長截屏(華為榮耀手機(jī)怎么長截屏在哪)
筆記本啟動后一直黑屏進(jìn)入不了系統(tǒng)怎么辦(筆記本啟動后一直黑屏進(jìn)入不了系統(tǒng))
抖音退出公會有什么影響(抖音退出公會會賠償嗎)
陌陌可以搜索指定人嗎安全嗎(陌陌可以搜索指定人嗎怎么搜)
榮耀magicbookpro適合打游戲嗎(榮耀magicbookpro打游戲怎么樣)
電腦安裝定位功能(安裝什么軟件可以定位)
金庸兵器譜排名大全(武俠小說兵器譜)
設(shè)備管理器在哪里打開蘋果(在蘋果手機(jī)設(shè)置里如何打開設(shè)備管理器)
16G521G固態(tài)是什么意思,固態(tài)硬盤256g ssd什么意思
加裝硬盤怎么安裝,怎么進(jìn)行硬盤安裝
怎么用u盤重新裝系統(tǒng)(用u盤電腦重裝系統(tǒng)教程)
其實(shí)很多安全漏洞都屬于w測試就能驗(yàn)證。滲透測試是一種通過模擬黑客攻擊來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全性能的方法。這個(gè)過程是從攻擊者 s的觀點(diǎn),并有條件地主動利用安全漏洞。滲透測試沒有嚴(yán)格的分類方法。甚至在軟件開發(fā)生命周期中,也有滲透測試的環(huán)節(jié)。但根據(jù)實(shí)際應(yīng)用,一般認(rèn)為滲透測試分為兩類:黑盒測試和白盒測試。在黑盒測試中,滲透者對系統(tǒng)完全無知,而白盒測試與黑盒測試正好相反,滲透者在完全了解程序結(jié)構(gòu)的情況下進(jìn)行測試。但無論采用哪種測試方法,對測試的滲透都有以下特點(diǎn)。
(1)向測試滲透是一個(gè)漸進(jìn)的過程。
(2)滲透測試是一種不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊。
滲透測試步驟
滲透測試遵循軟件測試的基本流程,但由于其測試流程和目標(biāo)的特殊性,滲透測試在具體實(shí)施步驟上不同于常見的軟件測試。滲透測試過程主要包括八個(gè)步驟,如下圖所示:
圖片來自官網(wǎng),黑馬程序員
下面結(jié)合上圖描述每一步要完成的任務(wù)。
(1)明確的目標(biāo)
當(dāng)測試人員拿到需要滲透到測試的項(xiàng)目時(shí),先確定測試的需求,比如測試針對的是業(yè)務(wù)邏輯漏洞還是人事管理權(quán)限漏洞;然后確定客戶滲透測試的范圍,如ip段、域名、全站滲透或部分模塊滲透;最后確定測試規(guī)則的滲透力,比如能滲透多遠(yuǎn),是確定漏洞還是繼續(xù)利用漏洞進(jìn)行進(jìn)一步的測試,是否允許銷毀數(shù)據(jù),是否可以增強(qiáng)權(quán)威性等。在這一階段,測試人員主要對測試項(xiàng)目有一個(gè)整體和清晰的了解,便于測試計(jì)劃的制定。
(2)收集信息
在信息收集階段,盡量收集項(xiàng)目軟件的各種信息。比如一個(gè)w測試非常重要。只有掌握了足夠多的目標(biāo)程序信息,才能更好地檢測漏洞。
信息收集可以分為以下兩種。
①主動收集:通過直接訪問和瀏覽網(wǎng)站來收集所需信息,這樣可以收集更多的信息,但訪問者 的操作行為會被目標(biāo)主機(jī)記錄下來。
②被動收集:利用第三方服務(wù)了解標(biāo)的,如網(wǎng)上搜索相關(guān)信息。這樣獲得的信息比較少,不夠直接,但是目標(biāo)主機(jī)不會發(fā)現(xiàn)測試人員的行為。
(3)掃描漏洞
在這個(gè)階段,對收集到的信息進(jìn)行綜合分析,借助掃描工具對目標(biāo)程序進(jìn)行掃描,找出存在的安全漏洞。
(4)驗(yàn)證漏洞
在漏洞掃描階段,測試人員會得到許多關(guān)于目標(biāo)程序的安全漏洞,但這些漏洞是誤報(bào)的。測試人員有必要建立一個(gè)模擬的測試環(huán)境來驗(yàn)證這些安全漏洞。只有確認(rèn)的安全漏洞才能被利用來實(shí)施攻擊。
(5)信息分析
已經(jīng)驗(yàn)證的安全漏洞可以用來攻擊目標(biāo)程序,但是對于不同的安全漏洞,攻擊機(jī)制是不同的。針對不同的安全漏洞還需要進(jìn)一步分析,包括安全漏洞的原理、可用工具、目標(biāo)程序檢測機(jī)制、攻擊能否繞過防火墻等。,從而制定出詳細(xì)而精確的進(jìn)攻計(jì)劃,從而保證測試的順利實(shí)施。
(6)滲透攻擊
滲透攻擊是對目標(biāo)程序發(fā)起真正的攻擊,達(dá)到測試的目的,比如獲取用戶賬號密碼,攔截目標(biāo)程序傳輸?shù)臄?shù)據(jù),控制目標(biāo)主機(jī)。一般來說,測試對測試的滲透是一次性的。攻擊完成后,需要清理、刪除系統(tǒng)日志、程序日志等。,并抹去進(jìn)入系統(tǒng)的痕跡。
(7)組織信息
滲透攻擊完成后,將對攻擊中獲得的信息進(jìn)行整理,為以后撰寫《測試報(bào)告》提供依據(jù)。
(8)準(zhǔn)備測試報(bào)告。
測試建成后,將準(zhǔn)備測試報(bào)告來解釋該項(xiàng)目的安全測試攻擊目標(biāo)、信息收集、漏洞掃描工具、漏洞情況、攻擊方案、實(shí)際攻擊結(jié)果、測試過程中遇到的問題等此外,還要分析目標(biāo)程序的漏洞,提供安全有效的解決方案。
軟件評估報(bào)告請聯(lián)系王經(jīng)理,。更多信息請關(guān)注官方賬號:軟件評測聊天站。
了解更多漏洞分析階段(漏洞分析的目的)相關(guān)內(nèi)容請關(guān)注本站點(diǎn)。
如何將iphone手機(jī)鈴聲設(shè)置為歌曲(iphone怎么將鈴聲設(shè)置為歌曲)
2021年下半年值得入手的千元手機(jī)(2021年下半年千元手機(jī)推薦)
工業(yè)循環(huán)冷卻水系統(tǒng)(工業(yè)循環(huán)水冷卻機(jī)原因分析與處理)
華為筆記本選哪款好,華為筆記本 微軟筆記本 哪個(gè)好
固態(tài)u盤使用壽命如何,為什么不建議買固態(tài)u盤
漏洞分析階段(漏洞分析的目的)
二手手表回收市場價(jià)格,回收手表哪個(gè)平臺最好
蘋果游戲本哪個(gè)性價(jià)比高,蘋果筆記本電腦哪款性價(jià)比高玩大型游戲要好呢
sata電源線接法圖解,SATA硬盤電源 怎么接 SATA電源接線口接在硬盤上 4針D形接在那
華為榮耀怎樣長截屏(華為榮耀手機(jī)怎么長截屏在哪)
筆記本啟動后一直黑屏進(jìn)入不了系統(tǒng)怎么辦(筆記本啟動后一直黑屏進(jìn)入不了系統(tǒng))
抖音退出公會有什么影響(抖音退出公會會賠償嗎)
陌陌可以搜索指定人嗎安全嗎(陌陌可以搜索指定人嗎怎么搜)
榮耀magicbookpro適合打游戲嗎(榮耀magicbookpro打游戲怎么樣)
電腦安裝定位功能(安裝什么軟件可以定位)
金庸兵器譜排名大全(武俠小說兵器譜)
設(shè)備管理器在哪里打開蘋果(在蘋果手機(jī)設(shè)置里如何打開設(shè)備管理器)
16G521G固態(tài)是什么意思,固態(tài)硬盤256g ssd什么意思
加裝硬盤怎么安裝,怎么進(jìn)行硬盤安裝
怎么用u盤重新裝系統(tǒng)(用u盤電腦重裝系統(tǒng)教程)