版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
项目10:渗透测试综合实训项目目标【知识目标】(1)理解渗透测试的定义、目的和流程。(2)掌握常见的渗透测试工具和技术。【技能目标】(1)能够使用渗透测试工具进行漏洞扫描和利用。(2)能够编写渗透测试报告,提出修复建议。【素质目标】(1)培养安全意识和职业道德。(2)培养团队合作精神和创新思维。1.渗透测试概述1.渗透测试渗透测试(PenetrationTest)是指完全站在攻击者角度对目标系统进行的安全性测试过程。通过模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全性做深入的探测,发现系统最脆弱的环节,从而为组织单位提供真实可信的安全风险描述。1.渗透测试概述1.渗透测试渗透测试(PenetrationTest)是指完全站在攻击者角度对目标系统进行的安全性测试过程。通过模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全性做深入的探测,发现系统最脆弱的环节,从而为组织单位提供真实可信的安全风险描述。1.渗透测试概述2.渗透测试类型黑盒测试:测试人员不了解目标系统的内部结构,测试主要从外部进行,模拟外部攻击者的视角。白盒测试:测试人员拥有关于目标系统的全部信息,包括源代码等,能够进行更深入的测试。灰盒测试:介于黑盒和白盒之间,测试人员拥有部分内部信息2.渗透测试流程渗透测试通常分为制定实施方案、信息收集、漏洞扫描、漏洞利用、权限提升、生成报告等几个阶段。渗透测试流程图如图所示。
2.渗透测试授权书
进行渗透测试之前,首先要获取客户的书面授权,并同意实施方案,未经授权的渗透测试可能触犯法律。2.渗透测试报告
渗透测试报告提供了系统中可能存在的漏洞和弱点的详细信息,包括它们可能被利用的方式和可能造成的风险,有助于组织单位了解系统的安全状况,并采取措施加以解决。文件上传系统渗透测试Step1:漏洞信息收集扫描nmap-p21,22,23,80,443,445,1433,3306,3389,8080,27689681433/tcpopenms-sql-s27689/tcpopenunknown文件上传系统渗透测试Step1:漏洞信息收集扫描nmap-p21,22,23,80,443,445,1433,3306,3389,8080,27689681433/tcpopenms-sql-s27689/tcpopenunknown文件上传系统渗透测试Step2:网站目录扫描68:2768968:27689/Default.aspx#后台登陆页面68:27689/web.config.bak#包含敏感信息文件上传系统渗透测试Step3:漏洞利用-通过敏感信息泄漏攻击站点数据库文件上传系统渗透测试Step4:漏洞利用-通过登录数据库获取站点登陆用户信息进入后台文件上传系统渗透测试Step5:漏洞利用-利用文件名过长上传会被截取,上传木马通过多次上传文件测试发现,改文件上传系统会对上传的文件名进行重命名,会自动添加19个长度,且文件名称最长允许32个字符文件上传系统渗透
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 尊重他人建立和谐校园小学主题班会课件
- 提升心理素质,构筑阳光心态,小学主题班会课件
- 技术文档翻译进度更新函(3篇)范文
- 办公内控流程设计与实施方案
- 2026广西青少年发展基金会公开招聘2人备考题库(考点梳理)附答案详解
- 2026广安安农发展集团有限公司第四批次招聘劳务派遣制员工7人模拟试卷及答案详解(名校卷)
- 2026福建泉州市仰恩大学招聘总务处人员2人模拟试卷及完整答案详解
- 2026中国科学院软件所基础软件与系统重点实验室招聘1人参考题库及参考答案详解【能力提升】
- 销售合同签订流程优化通知(5篇)
- 高质量发展背景下嘉峪关市城市体检研究
- 2025天津泰达产业发展集团所属企业员工岗位社会化公开招聘笔试历年参考题库附带答案详解
- 2026年四川省成都市天府新区数学八上期末学业质量监测模拟试题含解析
- 2026年中国邮政集团有限公司吉林省分公司纪检干部社会招聘1人笔试历年典型考点题库附带答案详解
- 昆山啤酒节策划方案
- 国家卫生健康委员会中国结直肠癌诊疗规范(2025版)
- (2026年)围手术期血压管理课件
- 国企工程管理岗笔试试题及答案
- 诊所医学检验科工作制度
- 心房颤动诊断和治疗中国指南
- 2025年香港苏浙公学笔试面试及答案
- 海军与海洋知识进校园
评论
0/150
提交评论