第一章

一.滲透測試的種類安全

黑盒測試:框架

對客戶組織一無所知的進行滲透測試,黑盒顧名思義,看不見裏面的內容。也稱爲外部測試,徹底模擬外部攻擊者進行攻擊。同時還能夠對目標組織內部安全團隊進行測評,這是比較費時費力的,須要具備較高的技術能力。測試

白盒測試:插件

也稱爲內部測試,能夠了解到目標環境的全部底層和內部知識,若是實施到位,白盒測試比黑盒測試能夠消除更多的隱患和漏洞,流程與黑盒測試類似,可是沒法有效地測試客戶組織的應急響應程序。接口

灰盒測試:ip

以上兩種測試的組合,發揮各自的優點。開發

二.方法和流程rem

1.前期交互階段it

2.情報蒐集階段基礎

3.威脅建模階段

4.漏洞分析階段

5.滲透攻擊階段

6.後滲透攻擊階段

7.報告階段

三.Melasploit

是一個滲透測試框架軟件,體系框架,perl語言,先已經更新多版

包括1.基礎庫文件

2.模塊

3.插件

4接口

5.功能程序

四.實踐做業

1.Samba服務usermap_script安全漏洞

samba用戶名映射腳本

漏洞的時間線:

  • 2007年5月7日:漏洞匿名披露到security@samba.org電子郵件列表中。
  • 2007年5月7日:Samba的開發人員Gerald Carter開始響應這個漏洞。
  • 2007年5月9日:Samba的開發者Jeremy Allison發佈了補丁,用於iDefense測試。
  • 2007年5月10日:向vendor-sec郵件列表發佈通知。
  • 2007年5月14日:公開漏洞信息。
相關文章
相關標籤/搜索