立起进行渗透测试所要求的基本准则基线,来定义一次真正的渗透测试过程,并得到安全业界的广泛认同。Р 下述实验将按照这7个检测阶段,逐一进行。Р2.4.1前期交互阶段Р前期交互阶段通常是由你与客户组织进行讨论,来确定渗透测试的范围和目标。这个阶段最为关键的是需要让客户组织明确清晰的了解渗透测试将涉及哪些目标。而这个阶段也为你提供了机会,来说服客户走出全范围渗透测试的理想化愿景,选择更加现实可行的渗透测试目标来进行实际实施。Р此次渗透环境的拓扑图Р渗透测试范围(攻击主机地址:192.168.0.111)Р序号Р名称Р备注Р目标地址Р1РWindows Server 2003 Standard EditionР系统漏洞检测Р192.168.0.2Р2РWeb服务渗透测试РAsp脚本检测Р192.168.0.2Р3Рftp服务渗透测试Р用户名与密码穷举攻击Р192.168.0.2Р4.РMs-sql 2000 数据库渗透测试Р用户名与密码穷举攻击Р192.168.0.2Р5.Р社会工程学测试Р伪造页面,钓鱼Р192.168.0.2Р6.Р第三方软件0day测试Р是否及时打了相关补丁Р192.168.0.2Р与甲方人员协商,确定范围以及向甲方人员介绍渗透测试所遵循的标准和可能造成的损失等。Р渗透测试工作将遵循如下原则进行:Р渗透测试不仅是从技术层次对目标系统进行测试,也会使用社会工程等非技Р性手段。Р2)渗透测试前提供详细的渗透测试方案和流程。Р3)渗透测试使用的工具为渗透测试专用工具和可信的免费工具的集合。Р4)渗透测试可涵盖现有的攻击手段。Р5)渗透测试不得影响系统的正常运作和业务应用。Р6)在测试完成后,恢复系统的状态,不允许在系统中留下后门。Р渗透测试涉及的工具РBacktrack 5 渗透测试平台РMsf渗透测试平台РNmapРSET社会工程学工具Р其他安全评估及渗透测试工具
全文预览
