当前位置：首页 - 正文

网站渗透测试怎么做？

发布网友发布时间：2022-03-01 20:18

我来回答

共6个回答

热心网友时间：2022-03-01 21:48

先看网站类型，安全性相对而已asp<aspx<php<jsp<cfm

看服务器类型 windows还是 linux 还有服务器应用，windows分iis6 iis7等等 linux分apache和nginx 需要知道对于版本的漏洞如 iis6解析漏洞你百度，web服务器解析漏洞大全

反正需要懂的知识蛮多的，你自学没必要了，知识点你可以百度下知识点：

网站入侵学习入门到高手所有重点难点视频推荐

当知识点学的差不多了，总体的方法差不多就是：

入侵网站，锁定目标识别程序找oday oday不成功扫后门扫备份无后门无备份找后台找注入无注入弱口令无弱口令找图片扫编辑器无编辑器扫目录本地文件包含～任意文件下载 xss乱打拿不下就旁注旁不下扫端口还不行就去社社不了就爆破还不行去C段 ip端口入侵 C段搞不了子域名下手还不行字典问题，

后面就是学精sql注入（知道原理去尝试绕过waf），xss ，还有代码审计内网域渗透，msf，反正学无止尽这个知识主要靠累计，其他的靠自己本事去绕waf（ids和cdn），挖xss，oday获取突破点。

热心网友时间：2022-03-01 23:06

安全性漏洞挖掘

找出网站中存在的安全漏洞，对传统安全弱点的串联并形成路径，最终通过路径式的利用而达到模拟入侵的效果。发掘网站中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

漏洞修复方案

渗透测试目的是防御，故发现漏洞后，修复是关键。安全专家针对漏洞产生的原因进行分析，提出修复建议，以防御恶意攻击者的攻击。

回归测试

漏洞修复后，对修复方案和结果进行有效性评估，分析修复方案的有损打击和误打击风险，验证漏洞修复结果。汇总漏洞修复方案评估结果，标注漏洞修复结果，更新并发送测试报告。

热心网友时间：2022-03-02 00:40

在获取书面授权的前提下。
1)信息收集，
1，获取域名的whois信息,获取注册者邮箱姓名电话等。
2，查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。
3，查看服务器操作系统版本，web中间件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞
4，查看IP，进行IP地址端口扫描，对响应的端口进行漏洞探测，比如 rsync,心脏出血，mysql,ftp,ssh弱口令等。
5，扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏，比如php探针
6，google hack 进一步探测网站的信息，后台，敏感文件

2）漏洞扫描
开始检测漏洞，如XSS,XSRF,sql注入，代码执行，命令执行，越权访问，目录读取，任意文件读取，下载，文件包含，
远程命令执行，弱口令，上传，编辑器漏洞，暴力破解等
3）漏洞利用
利用以上的方式拿到webshell，或者其他权限
4）权限提升
提权服务器，比如windows下mysql的udf提权，serv-u提权，windows低版本的漏洞，如iis6,pr,巴西烤肉，
linux藏牛漏洞，linux内核版本漏洞提权，linux下的mysql system提权以及oracle低权限提权
5) 日志清理
6）总结报告及修复方案

热心网友时间：2022-03-02 02:32

渗透测试的目的在于模拟攻击者对网站进行全面检测和评估，在攻击者之前找到漏洞并且进行修复，从而杜绝网站信息外泄等不安全事件。测试、检查、模拟入侵就是渗透测试。

图中系统可以指网站，也可以是服务器

热心网友时间：2022-03-02 04:40

网站入侵渗透测试分如下几个层面进行扫描测试：
1、内网扫描：扫描服务器代码漏洞等。
2、*扫描：扫描目前市场已知漏洞等。
3、社会工程学扫描：排除人为的安全隐患因素。
来源：https://zhidao.baidu.com/question/1450902083120506940.html

热心网友时间：2022-03-02 07:04

这个还是推荐找专业的团队或者公司来搞好，因为这是比较复杂的工程呢。

声明：本网页内容为用户发布，旨在传播知识，不代表本网认同其观点，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。
E-MAIL:11247931@qq.com

焦点

网站渗透测试怎么做？

最新推荐

猜你喜欢

热门推荐