在對客戶網(wǎng)站和應用程序進行滲透測試服務之前，非常重要的前期工作是全面收集網(wǎng)站和應用程序的信息，以便更好地滲透。最近，在接受了一個金融客戶的委托，安全地滲透到其網(wǎng)站和應用程序中。我們將通過文章與您分享整個初步信息收集過程。

無論是安全工程師還是白貓，在滲透測試過程中信息收集的重要性是非常明顯的。我們將從我們的角度收集和滲透。首先，我們必須理解為什么信息收集在第一步是必要的，因為只有當我們真正了解客戶時，我們才能了解我們的敵人和我們自己。進攻和防守是我們之間的競爭過程。等級越高，魔法等級越高。我們彼此理解得越好，我們就能越好地融入滲透測試。

客戶要求找出當前網(wǎng)站和應用程序中的漏洞，然后我們必須對客戶的網(wǎng)站開發(fā)語言以及數(shù)據(jù)庫類型、服務器知識產(chǎn)權等方面進行全面的信息收集。我們掌握的信息越多，漏洞就越多。找到他最薄弱的一環(huán)，打開它，就會發(fā)現(xiàn)其他漏洞。對于收集的信息，我們可以將其分為三類。第一種是直接可用的信息，第二種是間接可用的信息，第三種是將來可以使用的信息。你如何理解這三個類別？未來可以使用的信息很簡單，就是在新版本的網(wǎng)站開發(fā)和發(fā)布之前，官方網(wǎng)站就已經(jīng)公布了，稱新版本將于下月在平臺上發(fā)布。我們可以獲得的信息是，該網(wǎng)站的新版本有可能在沒有滲透測試的情況下推出，具有高安全風險系數(shù)和高漏洞率。一般來說，可以直接使用的信息是網(wǎng)站中存在漏洞，如SQL注入漏洞、遠程代碼執(zhí)行漏洞、邏輯越權漏洞、短信驗證碼盜版漏洞等。可以間接使用的信息是網(wǎng)站的后端地址和上傳文件的地址，或者網(wǎng)站上存在主域名下的二級域名，我們統(tǒng)稱為可以間接用于的信息。

然后我們在實際滲透測試服務中，針對金融客戶的信息收集主要是從以下幾個方面進行的:

網(wǎng)站域名信息收集，檢查域名注冊信息，以及域名注冊郵箱，聯(lián)系信息，另一個通過SSL證書來檢查域名信息，檢查網(wǎng)站JS文件是否包含其他二級域名信息，以及網(wǎng)站的背景地址信息，反編譯APK文件來檢查源代碼是否包含其他域名的接口信息，子域的收集使用搜索引擎來檢查收集的信息，是否包含子域，并使用域名暴力猜測工具來掃描。網(wǎng)站服務器的信息收集，檢查網(wǎng)站是否隱藏真實的知識產(chǎn)權并啟用CDN。如果真正的知識產(chǎn)權是隱藏的，通過注冊會員和電子郵件在這里檢查真正的知識產(chǎn)權。如果有第二個域名，您可以PING下一個第二個域名的服務器IP地址。使用PING工具，建議ping.chinaz.com在國內所有節(jié)點查詢網(wǎng)站的知識產(chǎn)權。您也可以使用nslookup進行國外域名查詢，因為國內的CDN只分析國外的知識產(chǎn)權。

無論服務器是使用windows系統(tǒng)還是linux系統(tǒng)進行收集，系統(tǒng)版本號也可以通過工具進行掃描。kali系統(tǒng)對服務器的端口開放進行全面的安全檢查，檢查服務器中是否存在任何漏洞，包括redis未授權訪問漏洞等。通過端口打開，服務器可以檢查哪些服務正在運行以及軟件已安裝。

收集網(wǎng)站代碼，檢查網(wǎng)站的JS文件是否有開源系統(tǒng)的痕跡，或者手動搜索特征碼來確定CMS系統(tǒng)、網(wǎng)站開發(fā)語言、使用的數(shù)據(jù)庫類型，然后檢查網(wǎng)站是否有網(wǎng)站防火墻和網(wǎng)站背景地址集合。

這些是我們在早期滲透測試中為需要收集的一些信息。這項工作非常重要。我們收集的信息越多，我們就越有信心找到網(wǎng)站上的漏洞。因此，在網(wǎng)站和應用程序上線之前，許多客戶必須進行全面的安全測試并掃描漏洞。一些顧客對此不屑一顧。網(wǎng)站和應用用戶規(guī)模擴大后，漏洞造成的經(jīng)濟損失將尤為嚴重，發(fā)展將因規(guī)模過大和難以改變而受阻。如果你對滲透測試知之甚少，你可以找一家專業(yè)的滲透測試公司來幫你處理。國內的新加坡國家外匯管理局、祁鳴陳星和綠色聯(lián)盟都比較好。網(wǎng)絡安全包括你和我。你應該有安全意識和預防意識。只有通過雙重互補，網(wǎng)站才能走得更遠。

網(wǎng)站名稱：滲透測試服務對客戶網(wǎng)站APP的信息收集與共享
分享地址：http://www.2m8n56k.cn/news18/271768.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、用戶體驗、面包屑導航、全網(wǎng)營銷推廣、關鍵詞優(yōu)化、外貿建站

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)