1.明确方向
1)明确范畴:测试范畴,如:IP、网站域名、内外网、全站or一部分控制模块
2)明确标准:能渗入到何种程度(发觉系统漏洞才行or再次运用系统漏洞)、限制时间、能不能改动提交、能不能漏洞利用...
总体目标系统玩法攻略、重点保护对象及特点 。
是不是容许数据信息毁坏?
是不是容许阻隔业务流程正常运转?
检测以前是不是理应通知有关部门接口人?
接入方式?外网地址和内部网?
检测是发现的问题即使取得成功,或是尽可能发觉多问题?
渗入全过程是否要考虑到社会工程?
3)明确要求:web应用的系统漏洞(新出来的程序流程)?业务流程逻辑漏洞(对于业务)?工作人员管理权限管理漏洞(对于工作人员、管理权限)?
根据自己的需求跟自己专业能力来决定做不做、可以做是多少
2.剖析风险性,得到受权
剖析网站渗透测试环节中可能出现的风险性,如很多数据测试的处理方法、危害正常的业务开展、网络服务器产生异常紧急、数据信息备份与恢复、检测财力物力成本费...
由检测方撰写实施意见原稿同时提交给顾客(or本企业内部领导干部)进行审查 。在申报结束后,从客户(or本企业内部领导干部)获得对检测方开展书面形式委托授权书,受权检测方开展网站渗透测试 。
3.信息搜集
在信息搜集环节,我们应该尽可能多的搜集关于目标web应用的所有信息,例如:开发语言的种类、云服务器种类、文件目录的构造、所使用的开源项目、数据库类型、全部连接网页页面,需要用到的架构等 。
方法:积极扫描仪;对外开放检索
【NISP网络安全中渗透测试的流程是什么】
推荐阅读
- 朱元璋的孙子们?朱元璋侄儿
- 胸肌中缝,一副哑铃就搞定
- 蒋璐霞|\这是中国引以为傲的东西,不能就这么没了\
- 唐庄宗李存勖的成败?政者从后唐宗李存勖的成败中可以获得何种历史借鉴_1
- 陈法蓉|陈法蓉任香港小姐评委 主动加“中国”前缀 却引争论:多此一举?
- 撩到女孩哭的情话?撩到女孩子脸红的情话
- 陈时中|周玉蔻高喊爱陈时中还讽柯文哲吃醋,柯留言“只有祝福”上万网友点赞
- 秋葵中毒症状是什么
- 如何保养肾脏,学会五个方法
- 中老年人预防心脏病的方法,控制情绪合理饮食