1.1 什么是渗透测试
<span style="color:#f33b45;">黑客技术没有国界,只有充分吸收国外的先进技术,才能让我们自己变得更强!</span>
Metasploit是国外安全开源社区的一款渗透测试神器,我们的魔鬼训练营就是围绕着这款软件设计各种渗透测试技术专题
1.1.1 渗透测试的起源与定义
<span style="color:#f33b45;"> 目前渗透测试工程师岗位数量缺口很大,高端人才极其稀缺,拥有很好的发展情景</span>
简而言之,渗透测试就是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式
渗透测试过程一般需要:对目标系统进行主动探测分析,已发现潜在的系统漏洞,包括不恰当的系统配置,已知或未知的软硬件漏洞,以及在安全计划与响应过程中的操作性弱点等。
渗透测试通常涉及:对大量发现的安全漏洞的主动渗透与入侵攻击,渗透测试中发现的所有安全问题,以及它们所带来的业务影响后果评估,以及如何避免这些问题的技术解决方案
提供渗透测试服务的安全公司或组织都需要由职业化渗透测试者组成的专业团队,这些职业化渗透测试者一般被成为“渗透测试工程师”(或者是渗透测试师)
1.1.2 渗透测试的分类
<span style="color:#f33b45;">黑 白 灰</span>
渗透测试的两种基本类型:
1.1.3 渗透测试方法与流程
<span style="color:#f33b45;">按步骤实施渗透测试,确保更精确的评价一个系统的安全性</span>
渗透测试方法学:
1.1.4 渗透测试过程环节
<span style="color:#f33b45;">PTES 标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同,具体包括一下 7 个阶段:</span>
1.前期交互阶段:(满足客户需求)