《Web应用安全与防护》课件 项目10:渗透测试综合实训_第1页
《Web应用安全与防护》课件 项目10:渗透测试综合实训_第2页
《Web应用安全与防护》课件 项目10:渗透测试综合实训_第3页
《Web应用安全与防护》课件 项目10:渗透测试综合实训_第4页
《Web应用安全与防护》课件 项目10:渗透测试综合实训_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

项目10:渗透测试综合实训项目目标【知识目标】(1)理解渗透测试的定义、目的和流程。(2)掌握常见的渗透测试工具和技术。【技能目标】(1)能够使用渗透测试工具进行漏洞扫描和利用。(2)能够编写渗透测试报告,提出修复建议。【素质目标】(1)培养安全意识和职业道德。(2)培养团队合作精神和创新思维。1.渗透测试概述1.渗透测试渗透测试(PenetrationTest)是指完全站在攻击者角度对目标系统进行的安全性测试过程。通过模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全性做深入的探测,发现系统最脆弱的环节,从而为组织单位提供真实可信的安全风险描述。1.渗透测试概述1.渗透测试渗透测试(PenetrationTest)是指完全站在攻击者角度对目标系统进行的安全性测试过程。通过模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全性做深入的探测,发现系统最脆弱的环节,从而为组织单位提供真实可信的安全风险描述。1.渗透测试概述2.渗透测试类型黑盒测试:测试人员不了解目标系统的内部结构,测试主要从外部进行,模拟外部攻击者的视角。白盒测试:测试人员拥有关于目标系统的全部信息,包括源代码等,能够进行更深入的测试。灰盒测试:介于黑盒和白盒之间,测试人员拥有部分内部信息2.渗透测试流程渗透测试通常分为制定实施方案、信息收集、漏洞扫描、漏洞利用、权限提升、生成报告等几个阶段。渗透测试流程图如图所示。

2.渗透测试授权书

进行渗透测试之前,首先要获取客户的书面授权,并同意实施方案,未经授权的渗透测试可能触犯法律。2.渗透测试报告

渗透测试报告提供了系统中可能存在的漏洞和弱点的详细信息,包括它们可能被利用的方式和可能造成的风险,有助于组织单位了解系统的安全状况,并采取措施加以解决。文件上传系统渗透测试Step1:漏洞信息收集扫描nmap-p21,22,23,80,443,445,1433,3306,3389,8080,27689681433/tcpopenms-sql-s27689/tcpopenunknown文件上传系统渗透测试Step1:漏洞信息收集扫描nmap-p21,22,23,80,443,445,1433,3306,3389,8080,27689681433/tcpopenms-sql-s27689/tcpopenunknown文件上传系统渗透测试Step2:网站目录扫描68:2768968:27689/Default.aspx#后台登陆页面68:27689/web.config.bak#包含敏感信息文件上传系统渗透测试Step3:漏洞利用-通过敏感信息泄漏攻击站点数据库文件上传系统渗透测试Step4:漏洞利用-通过登录数据库获取站点登陆用户信息进入后台文件上传系统渗透测试Step5:漏洞利用-利用文件名过长上传会被截取,上传木马通过多次上传文件测试发现,改文件上传系统会对上传的文件名进行重命名,会自动添加19个长度,且文件名称最长允许32个字符文件上传系统渗透

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论