渗透测试src是什么
SRC是source的缩写,是一种编程的概念,在渗透测试中是漏洞挖掘中的一种进阶办法,当学习了基础的漏洞原理和知识之后,可以通过SRC漏洞挖掘来进行技术的提升。想要学习漏洞挖掘,那么就必须具备清晰的逻辑,这也是渗透测试工程师最基本的能力要求。渗透测试时应该对SRC的概念多加了解,目前市面上有许多的SRC漏洞平台,可以在上面多看一些技术帖子和SRC漏洞挖掘的高手多加学习,只有这样才能快速的提升自己。
渗透测试包括以下这些阶段:
情报的搜集阶段:情报是指目标网络,服务器,应用程序等的所有信息,如果是黑盒测试,信息搜集阶段是最重要的一个阶段,一般通过被动扫描或主动扫描两种技术。
威胁建模阶段:如果把渗透测试看做一场对抗赛,那么威胁建模就相当于指定策略。
漏洞分析阶段:漏洞分析阶段是从目标网络中发现漏洞的过程。这个阶段我们会根据之前搜集的目标网络的操作系统,开放端口及服务程序等信息,查找和分析目标网络中的漏洞。这个阶段如果全靠人手工进行,那么会非常累。不过Kali Linux 2提供了大量的网络和应用漏洞评估工具。不光是网络的漏洞,还要考虑人的因素长时间研究目标人员的心理,以便对其实施欺骗,从而达到渗透目标。
漏洞利用阶段:找到目标网络的漏洞后,就可以对其进行测试了。在漏洞利用阶段我们关注的重点是,如果绕过网络的安全机制来控制目标网络或访问目标资源。如果我们在漏洞分析阶段顺利完成任务,那么我们就可以在此阶段准确,顺利的进行。漏洞利用阶段的渗透测试应该有精确的范围。这个阶段我们主要的目标就是获取我们之前评估的重要的资产。进行渗透测试时还需要考虑成功的概率和对目标网络造成的最大破坏。
后渗透攻击阶段:后渗透攻击阶段和漏洞利用阶段连接十分密切,作为渗透测试人员,必须尽可能地将目标网络渗透后可能产生的结果模拟出来。
报告阶段:报告阶段是渗透测试最后一个阶段。要简单,直接且尽量避免大量专业术语向客户汇报测试目标网络出现的问题,以及可能产生的风险。这份报告应该包括目标网络最重要的威胁,使用渗透数据产生的表格和图标,以及对目标网络存在问题的修复方案,当前安全机制的改进建议等。