什么是渗透测试?
渗透测试(penetrationtest)是通过模拟恶意黑客得攻击方法,来评估计算机网络系统安全得一种评估方法,这个过程包括对系统得任何弱点,技术缺陷或漏洞分主动分析,这个分析是从一个攻击者可能存在得位置来进行得,并且从这个位置有条件主动利用安全漏洞
渗透测试还具有以下两个显著特点
1:渗透测试是一个渐进得并且的并且逐步深入的过程
2:渗透测试是选择不影响业务系统正常运行得攻击方法进行得测试
PTES渗透测试执行标准
实际渗透测试流程
渗透测试术语简介
白帽子:白帽子描述的是正面的黑客。通过技术手段识别计算机系统或网络系统中的安全漏洞,提交给厂商并提出修复方法。
黑帽子:为了谋取利益而行走在法律边缘甚至违法乱纪的骇客。
灰帽子:介质与黑白之间,无法具体的定性。
肉鸡:就是傀倡机可以随意被控制的电脑或服务器。
木马:一些用来获取用户权限的程序或者代码段。
后门:为了方便二次进入系统留下的非常隐蔽的后门程序。
shell:命令执行环境,通常所说的拿Shell,就是拿到对方的命令执行环境。
webshell:通过Web入侵的一种脚本工具,可以据此对网站服务进行一定程度的控制。
POC:用来验证漏河存在的一段代码或者程序。
EXP(Exploit):漏洞利用的一段代码或程序。
Payload:Payload即有效攻击载荷,可以是段代码,被隐藏并目秘密发送的信息。
WAF:WEB应用防护系统,也称之为网站应用级入侵防御系统。
提权:利用一些手段将低权限提升为高权限,这里的高权限一般为管理员或系统权限。
APT:高级可持续性攻击,是指组织(特别是)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的供给形式(极强的隐蔽性、潜伏期长,持续性强、目标性强)
CMS:内容管理系统,可以理解为网站的一种模板,将一些功能集中控制管理,使网站搭建变得更为快捷。
黑盒测试:即对内部系统一无所知的情况下进行渗透测试或者其他测试。
白盒测试:了解内部系统、结构、源码等信息的情况下进行渗透测试或其他测试。
灰盒测试:介质与黑白盒测试之间的渗透测试或其他测试。
