Service support服务支持
网络安全服务 产品更新 网络安全学堂 常见问题 下载中心

渗透测试报告

TIME:2023-06-16   click: 74 次
渗透测试过程
渗透测试采用工具扫描和人工验证相结合的方式,模拟攻击者对特定目标安全技术措施进行有效性验证,内容覆盖主机端口开放测试、任意文件上传、敏感信息泄露、敏感目录遍历、敏感接口验证,以及Shiro和Struts2等典型漏洞检测。
本次渗透测试工具包含但不限于:自研自动化漏洞挖掘系统、主机漏洞扫描、数据库漏洞扫描、Metasploit、Nmap、Burpsuite、Fscan等商业化软件和各种开源工具。
主要渗透测试流程为:
1)沟通调研:本阶段负责收集目标的信息,确定系统情况,确定测试目标,确定测试时间,沟通获取其他测试需求;
2)方案编制:针对本次测试编制渗透测试方案,方案包括:测试目标,测试流程,测试内容,风险揭示,时间计划等;
3)实施测试:使用渗透测试工具进行常规检测,通过人工漏洞挖掘针对特定系统特定服务进行手动渗透测试,并通过检测结果进行综合利用,漏洞利用手段包括但不限于:持久化、权限提升、防御绕过、凭据访问、发现、横向移动、收集、命令与控制,取证后进行记录;
4)报告编制:将发现的漏洞进行整体综合评估,并在报告中体现测试过程,测试结果,并给出危害分析,整改建议,形成渗透测试结果,编制在报告中。