渗透测试大纲
2022-03-03 16:33:27 22 举报AI智能生成
渗透测试实施的简单大纲
作者其他创作
大纲/内容
行动流程
明确目标
明确测试范围:IP、内外网
确认规则
渗透时间
渗透的尺度,如:能否提权
明确需求
WEB程序漏洞
业务逻辑漏洞
人员权限管理漏洞
等等
信息收集
网络信息
IP
网段
域名
开放端口
系统信息
操作系统版本
应用信息
端口上的应用
应用版本信息
人员信息
域名注册人
管理员ID
管理员姓名
联系方式
防护信息
防护应用
防护应用版本
漏洞探测
漏洞扫描器
AWVS
APPSCAN
BurpSuit
等
系统补丁
端口服务漏洞
等
漏洞验证
自动化验证
爆破密码
手动验证
exploit-db、github等公共资源上找POC
实验验证
搭建环境进行验证
信息分析
准备工作
准备好验证成功的武器
绕过防御
定制攻击路径
获取所需
实施攻击
获取内网信息
网络拓扑
路由
等
内网渗透
清理痕迹
清理日志
清理上传的文件
信息整理
攻击武器
POC
EXP
等
收集到的信息
漏洞信息
形成报告
沟通范围
和客户沟通具体撰写范围
补充介绍
漏洞成因
危害分析
修补建议
报告大纲
封皮
内容摘要
漏洞列表
渗透工具
版本
介绍
修补建议
人员信息
姓名
联系方式
0 条评论
下一页
