渗透测试入门之信息收集命令篇
渗透测试的实质是信息收集,我们大体上还可以将内部网络信息收集分成远程服务器信息收集、域内信息收集、登录证书盗取、生存远程服务器检测、内部网络端口扫描5个步骤。 最常见的两个问题是: 我是谁?-whoa...
admin
什么是web渗透测试? 首先从信息搜集开始入手
什么是web渗透测试?一般是指通过模拟黑客的攻击手法,对计算机网络系统进行安全评估测试,如果发现系统中存在漏洞,向被测试系统的所有者提交渗透报告,并提出补救措施。这一章将通过渗透测试Web...
红队渗透网站的第一步 资产信息的搜集
无论是红队项目还是渗透项目,打分过程总是充满不确定性,在一个攻击面上充满了各种可能性,每一个对外开放的服务都可能成为我们进入内部网络的通道,随着每个人的关注点,进入内部网络的方式也多种多样。...
对企业邮箱的一次渗透测试过程
这个方法看起来是失败的,现在的思路是继续使用内部只有的一个账户进行内部钓鱼,看是否能获得高权限的账户,因为使用owa进行暴力破解需要经常分钱,而且根据前期的密码爆破的结果看再爆高价值用户的密...
如何搭建漏洞管理库 定期对网站进行渗透测试服务
漏洞管理一直是安全团队工作中的一个难题。漏洞来源众多,层出不穷,占用了网络安全团队大量的时间和精力进行检测、调查、通知、整改和复试。一不小心就会被一个洞刺穿,很难防止,给人一种绝望的感觉...
渗透某企业服务器的一次红队行动经验分享
此时,离这个行动结束还有两天,我们意识到尽可能短的时间内进行横向渗透,尽可能多地获得服务器主机。个人主机的权限非常不稳定,可用时间跟着上班时间,晚上不能工作了,和小伙伴分工,尽可能不引起大规...
渗透测试工具之AWVS的使用介绍
很多渗透测试中用网站漏洞自动扫描器进行前期扫描的比较常见的就是AWVS,而它是一款自动的Web漏洞扫描工具。它通过跟踪网站上的所有链接来分析整个网站,然后对网站的每个部分进行有针对性的检测。...
渗透测试中什么是白帽、灰帽、黑帽黑客?
随着网络技术的飞速发展,网络已经成为个人生活和工作中获取信息的重要途径。然而,在网络给人们生活带来便利的同时,木马病毒、猖獗的电信诈骗等网络安全问题也对我们的个人信息和财产安全构成了严重...
对物联网项目的一次黑盒渗透测试 上篇
在一个项目中,客户的需求是在完全黑盒的情况下开展渗透测试,目标是内部网络的物理隔离核心系统,因此展开了下一个测试行动。 那是1个艳阳高照的早上,我背个我的小书包来到客户楼下,掏出我的设备,准...
对JSP网站的一次曲折渗透测试与提权
本次项目是公司的大客户,客户和公司领导也重视渗透测试结果,有本次安全测试经验。因为已经是生产环境的系统,而且以前也进行过渗透测试,所以最初的报告中发现的漏洞基本上是xss或者弱密码,但是...