app渗透测试流程

广告也精彩

互联网改变了我们的生活,网站的架设也越来越常见,我们在架设网站都需要部署安全产品,还需要进行定期进行安全服务,否则很容易遭受攻击。所以做APP渗透测试就变得尤为重要,那APP渗透测试是怎么做的呢?先获取域名的whois信息,获取注册者邮箱姓名电话等。查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,Heartbleed,mysql,ftp,ssh弱口令等。扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针。google hack 进一步探测网站的信息,后台,敏感文件。漏洞扫描:开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含, 远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等。漏洞利用:利用以上的方式拿到webshell,或者其他权限。权限提升:提权服务器,比如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,Churrasco, linux藏牛漏洞,linux内核版本漏洞提权,linux下的mysql system提权以及oracle低权限提权。日志清理:结束渗透测试工作需要做的事情,抹除自己的痕迹。在做APP渗透测试必然要写总结报告及修复方案,报告需要包括,对本次网站渗透测试的一个总概括,发现几个漏洞,有几个是高危的漏洞,几个中危漏洞,几个低危漏洞。对漏洞进行详细的讲解,比如是什么类型的漏洞,漏洞名称,漏洞危害,漏洞具体展现方式,修复漏洞的方法。

app渗透测试流程

 

转载于天翼云,如有侵权,请联系删除,谢谢

广告也精彩
版权声明:大兵云服务器 发表于 2023年1月4日 pm1:14。
转载请注明:app渗透测试流程 | mjj云导航

相关文章

广告也精彩

暂无评论

暂无评论...