渗透的方法和思路

渗透方法轿车

常用的渗透思路

  1. 侦察和信息收集阶段对应用程序进行各种信息的收集,包括但不限于服务器信息(操作系统、开放端口、运行的服务)、应用信息(应用架构、脚本类型)
  2. 映射应用内容
  3. 漏洞扫描和发现
  4. 对应用陈程序进行漏洞扫描以发现其中的漏洞漏洞利用对发现的漏洞进行利用并获得权限。

渗透入手方向

  • 配置和部署管理测试
  • 身份管理测试
  • 认证测试
  • 授权测试
  • 会话管理测试

工具

漏洞扫描器

  • w3af:一个Web应用程序攻击和检查框架。
  • arachni:一个用ruby语言编写的针对web应用的安全漏洞扫描软件,可以扫描很多类型的漏洞。
  • Acunetix Web Vulnerability Scanner:一个自动化的Web应用安全测试工具,通过爬虫测试网站安全,检查流行的安全漏洞。

    暴力资源定位器

    用于有目的性的发现应用中的诸如文件、目录等私密的内容和资源。

  • DIRB

  • Wfuzz
  • Fuzzdb
小伟科技 wechat
本人微信!欢迎关注我!
欢迎打赏支持!