2023-06-01 分類: 網(wǎng)站建設(shè)
在對客戶網(wǎng)站和應(yīng)用程序進(jìn)行滲透測試服務(wù)之前,非常重要的前期工作是全面收集網(wǎng)站和應(yīng)用程序的信息,以便更好地滲透。最近,在接受了一個金融客戶的委托,安全地滲透到其網(wǎng)站和應(yīng)用程序中。我們將通過文章與您分享整個初步信息收集過程。
無論是安全工程師還是白貓,在滲透測試過程中信息收集的重要性是非常明顯的。我們將從我們的角度收集和滲透。首先,我們必須理解為什么信息收集在第一步是必要的,因為只有當(dāng)我們真正了解客戶時,我們才能了解我們的敵人和我們自己。進(jìn)攻和防守是我們之間的競爭過程。等級越高,魔法等級越高。我們彼此理解得越好,我們就能越好地融入滲透測試。
客戶要求找出當(dāng)前網(wǎng)站和應(yīng)用程序中的漏洞,然后我們必須對客戶的網(wǎng)站開發(fā)語言以及數(shù)據(jù)庫類型、服務(wù)器知識產(chǎn)權(quán)等方面進(jìn)行全面的信息收集。我們掌握的信息越多,漏洞就越多。找到他最薄弱的一環(huán),打開它,就會發(fā)現(xiàn)其他漏洞。對于收集的信息,我們可以將其分為三類。第一種是直接可用的信息,第二種是間接可用的信息,第三種是將來可以使用的信息。你如何理解這三個類別?未來可以使用的信息很簡單,就是在新版本的網(wǎng)站開發(fā)和發(fā)布之前,官方網(wǎng)站就已經(jīng)公布了,稱新版本將于下月在平臺上發(fā)布。我們可以獲得的信息是,該網(wǎng)站的新版本有可能在沒有滲透測試的情況下推出,具有高安全風(fēng)險系數(shù)和高漏洞率。一般來說,可以直接使用的信息是網(wǎng)站中存在漏洞,如SQL注入漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、邏輯越權(quán)漏洞、短信驗證碼盜版漏洞等??梢蚤g接使用的信息是網(wǎng)站的后端地址和上傳文件的地址,或者網(wǎng)站上存在主域名下的二級域名,我們統(tǒng)稱為可以間接用于的信息。
然后我們在實際滲透測試服務(wù)中,針對金融客戶的信息收集主要是從以下幾個方面進(jìn)行的:
網(wǎng)站域名信息收集,檢查域名注冊信息,以及域名注冊郵箱,聯(lián)系信息,另一個通過SSL證書來檢查域名信息,檢查網(wǎng)站JS文件是否包含其他二級域名信息,以及網(wǎng)站的背景地址信息,反編譯APK文件來檢查源代碼是否包含其他域名的接口信息,子域的收集使用搜索引擎來檢查收集的信息,是否包含子域,并使用域名暴力猜測工具來掃描。網(wǎng)站服務(wù)器的信息收集,檢查網(wǎng)站是否隱藏真實的知識產(chǎn)權(quán)并啟用CDN。如果真正的知識產(chǎn)權(quán)是隱藏的,通過注冊會員和電子郵件在這里檢查真正的知識產(chǎn)權(quán)。如果有第二個域名,您可以PING下一個第二個域名的服務(wù)器IP地址。使用PING工具,建議ping.chinaz.com在國內(nèi)所有節(jié)點查詢網(wǎng)站的知識產(chǎn)權(quán)。您也可以使用nslookup進(jìn)行國外域名查詢,因為國內(nèi)的CDN只分析國外的知識產(chǎn)權(quán)。
無論服務(wù)器是使用windows系統(tǒng)還是linux系統(tǒng)進(jìn)行收集,系統(tǒng)版本號也可以通過工具進(jìn)行掃描。kali系統(tǒng)對服務(wù)器的端口開放進(jìn)行全面的安全檢查,檢查服務(wù)器中是否存在任何漏洞,包括redis未授權(quán)訪問漏洞等。通過端口打開,服務(wù)器可以檢查哪些服務(wù)正在運行以及軟件已安裝。
收集網(wǎng)站代碼,檢查網(wǎng)站的JS文件是否有開源系統(tǒng)的痕跡,或者手動搜索特征碼來確定CMS系統(tǒng)、網(wǎng)站開發(fā)語言、使用的數(shù)據(jù)庫類型,然后檢查網(wǎng)站是否有網(wǎng)站防火墻和網(wǎng)站背景地址集合。
本文名稱:滲透測試服務(wù)對客戶網(wǎng)站APP的信息收集與共享
標(biāo)題路徑:http://jinyejixie.com/news14/261914.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗、自適應(yīng)網(wǎng)站、網(wǎng)站內(nèi)鏈、關(guān)鍵詞優(yōu)化、網(wǎng)站制作、網(wǎng)站設(shè)計
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容