初识渗透测试

　　渗透测试是模拟黑客攻击，以攻击者的角度挖掘问题发现问题的安全工作流程。能够发现和挖掘出审计难以发觉的安全问题。随着互联网的发展，互联网安全就显得尤为重要。

　　随着计算机和互联网的发展，其使用成本降低，适用范围成倍扩增，一旦出现安全问题影响范围也是极大的。所以互联网产品的安全性必须有保障，在使用投放市场之初就需要一系列安全测试。

　　注意：渗透测试不等于黑客攻击，这是一个循序渐进的过程，逐渐深入；是在不影响业务系统正常进行的攻击方法进行测试。

　　　　渗透测试需要在有授权的情况下进行。

渗透测试分类

• 黑盒测试
• 白盒测试
• 灰盒测试

渗透测试标准流程

通常使用的是PTES（penetration testing execution standard）渗透测试标准流程

• 前期交互阶段
• 信息收集阶段
• 威胁建模阶段
• 漏洞分析阶段
• 渗透攻击阶段
• 后渗透攻击阶段
• 报告阶段

渗透测试常见词

• CVE:cve漏洞库为公开披露的漏洞提供了索引CVE编号
• CNVD：中国国家信息安全漏洞共享平台
• CNNVD：中国国家漏洞库
• Shell code：利用漏洞所执行的代码
• Exploit：通常指漏洞利用工具
• POC：证明漏洞存在的程序代码片段
• API攻击：高级持续性威胁。
• 0Day：指一些没有公布补丁的漏洞，也形容那些被发现但未被公开的漏洞

 

　　渗透预测试是一个范围很广的。。。工作？ 其不仅只是利用工具扫描漏洞再利用就行，还要有自己挖掘漏洞发现漏洞的能力。（什么二进制，逆向，安卓，协议，代码审计，脚本编写）这是一个有趣，终身学习，但没有终点的领域。

　　还有就是，以上内容都是简单介绍，详细了解可以自行百度。在其他的博客中会有更多更精彩的内容和干货。另外因为在学习和以后使用过程中，信息收集都是重要的一环。而且，我也只是一个渣渣。