渗透测试学习笔记
来源:互联网 发布:js给a标签添加属性 编辑:程序博客网 时间:2024/05/06 16:14
渗透测试初体验
-----以博客记录我的渗透笔记
0X01 什么是渗透测试?
我的理解是:模拟黑客对网站或者服务器进行攻击,取得某些权限,继而深入到内网,获取敏感数据。
详细定义可参考百度百科:渗透测试定义
分类:
- 白盒测试
- 黑盒测试
- 灰盒测试
(具体是什么含义自己百度)
重要提醒:
在渗透测试之前,应该先获得网站和服务器的授权,否则进行的渗透测试是不合法的,如果对网站和服务器造成一定的影响,那么个人是要承担责任的。 所以渗透测试应该在授权的情况下进行,不要为了炫耀自己的能力而被查水表。
0X02 为什么要进行渗透测试?
百度百科举了个例子:当你修好一座金库,肯定不会立马把贵重的物品放进去,而是会先检测金库的安全性,保证贵重物品放里面是安全的,是可靠的,而不是漏洞百出任人摆布!
渗透测试,目的就是为了检测网站和服务器的安全性,如果网站不安全被黑客利用,那么谁还敢用那个网站呢?
渗透测试的目的就是为了找出网站的漏洞并进行修复,从而能够让用户信任并继续使用!
0X03 渗透测试流程
- 准备阶段:确定目标以及人员,日期等
- 信息收集阶段:收集网站所有有用信息
- 渗透测试阶段:找到漏洞并进行利用
- 分析阶段:分析漏洞的原因并给出漏洞修复的方法
- 攥写报告:整理渗透测试数据,完成渗透测试报告
不过:
每个人的渗透测试过程不太一样,思路也不一样,但最终的目的都是一样的,那就是找到网站的漏洞,然后利用漏洞获得权限和敏感数据。
个人的渗透流程:
收集网站信息
- ip
- whois
- 端口扫描
- 二级域名(推荐个爆破二级域名脚本,很好用:subDomainBrute.py)
- 服务器,数据库,操作系统,开启的服务等
漏洞扫描
- 利用找到的网站信息对网站进行初步测试
- 对网站利用工具进行扫描(感觉WVS最好用,就是慢,其他的工具如Safe3,Webcruiser,Jsky也比较好用,感兴趣自己可以去试试)
- 手工测试网站是否存在漏洞
漏洞利用
- 对扫到的或者手工找到的漏洞进行利用,进一步提权。
总结
- 对渗透的过程作一个总结和思考
0X04 谈谈SQL注入
比较菜,目前只能挖一些SQL注入漏洞和逻辑漏洞,其他的方向还有待慢慢跟进。
在乌云,补天混了近两个月,提交的大多都是SQL注入漏洞,我就说说自己对SQL漏洞的挖掘。
SQL注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(参考百度百科)
一般是手工测试网站的动态页面,其次是找网站的输入框,在挖洞过程中遇到很多都是输入框没有过滤导致注入成功,所以应该掌握。
利用sql注入工具对注入点进行利用,至于注入工具,我比较好用的有:
- Sqlmap (这个绝对是神器,一直在用,却觉得自己还是不会用,太强大了)
- Pangolin (挺好用的)
- Havij(也还行,但是自己用觉得效果不咋地)
- 啊D
- 明小子
作为渗透测试人员,这些工具应该是必备的。
今天先到这儿吧
说明:以上仅是个人意见 ,如有不对敬请指正,谢谢^_^!
- 渗透测试学习笔记
- CEH学习笔记之渗透测试框架
- VPN漏洞测试平台渗透学习笔记
- metasploit渗透测试学习笔记(一)
- metasploit渗透测试学习笔记(二)
- kali linux web渗透测试学习笔记
- 《metasploit渗透测试指南》学习笔记1
- kali linux web渗透测试学习笔记
- 【安全牛学习笔记】渗透测试介绍
- metasploit渗透测试笔记
- [笔记]渗透测试基础
- 【安全牛学习笔记】Kali Linux渗透测试介绍
- 安全之路---渗透测试学习笔记1
- 【安全牛学习笔记】Kali Linux渗透测试介绍
- 【安全牛学习笔记】Kali Linux渗透测试方法
- 《metasploit渗透测试魔鬼训练营》学习笔记第四章—web应用渗透
- 《metasploit渗透测试魔鬼训练营》学习笔记第五章--网络服务渗透攻击
- 《metasploit渗透测试魔鬼训练营》学习笔记第六章--客户端渗透
- 从零开始写javaweb框架笔记2-搭建web项目框架
- 第五届全国职工技能大赛-计算机程序设计员决赛总结
- hdu3336解题报告
- Java循环跳转语句之 continue和多重循环
- 小鑫吃苹果
- 渗透测试学习笔记
- 大工程
- 数独
- 协议解析-串口协议解析
- Mockito实现原理探析 -- Mockito.when(...).thenReturn(...)的一个简化实现
- 数据分析的道与术
- iOS单例的两种实现
- xshell连接本地虚拟机的步骤
- androidStudio的可视化界面为什么打不开?