渗透测试标准PTES:
    1.前期交互阶段:确认渗透测试范围,目标,限制条件。
    2.情报收集:  获取目标配置信息,扫描,社会工程学.
    3.威胁建模:  针对获取的信息,进行威胁建模和攻击规划。
    4.漏洞分析:  确认出可行的攻击通道.
    5.渗透攻击:  利用目标漏洞,进行攻击提权。
    6.后渗透:   保持对目标的控制权,利用被控制目标,对目标组织进行进一步的渗透.
    7.测试报告:  提交测试报告,取得认可,获取酬劳。
 
渗透测试类型:

   黑盒测试:对方未给出任何信息的条件下.完全模拟黑客的攻击测试.

   白盒测试:对方给你完全的信息的条件下进行测试.

   灰盒测试:只给出一部分信息的情况下进行模拟攻击测试.

 

OWASP TOP 10

  1.SQL注入漏洞

  2.失效的身份认证

  3.敏感数据泄露

  4.XXE外部实体注入

  5.失效中断的访问控制

  6.安全配置错误

  7.XSS跨站脚本攻击

  8.不安全反序列化漏洞

  9.已知组件安全漏洞

  10.不足的记录和监控漏洞

 

 信息安全三要素CIA:

  1.机密性Confidentiality

  2.完整性Integrity

  3.可用性Availability

 

杀毒软件核心:

  1.简单的特征码:简单字符串查找

  2.广谱特征码:正则表达式匹配

  3.启发式查杀:对敏感区域监控

  4.云查杀:将本地文件上传服务器查杀,AV虚拟机模拟运行(模拟程序在内存中运行)

  5.人工智能: