没有合适的资源?快使用搜索试试~ 我知道了~
LC-CS-04渗透测试指导书.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 145 浏览量
2023-11-07
15:07:35
上传
评论
收藏 319KB PDF 举报
温馨提示
试读
12页
LC-CS-04渗透测试指导书.pdf
资源推荐
资源详情
资源评论
渗透测试指导书 文件号:LC-CS-04
2.1 版 第 0 次修订
渗透测试指导书
序
号
检查
项
检查内容
检查实施过程
操作步骤
预期结果
1
1
信息
收集
WEB 应用发现
使用 nmap 进行端口扫描,注意非
标准端口提供的 web 服务
nmap –PN –sT –sV –p1-65535 www.xxx.com
遵循服务最小安装
开放原则,不对互联
网开放管理端口、数
据库端口
查询服务器上是否绑定其他域名
http://www.114best.com/
http://www.domaintools.com/research/reverse-ip/
http://whois.webhosting.info/
服务器上只存在一
个域名
WEB 应用识别
使用 CURL 连接 web 服务器,查看
版本信息
Curl –I www.xxx.com
无法获得中间件或
其它服务的版本信
息
错误代码分析
输入不存在的目录或文件名,测
试网站是否自定义 HTTP 404 错误
页面(找不到页面)
www.xxx.com/test,分别输入存在的目录和不存在的目录
不管输入存在还是
不存在的目录,提示
都是一样,如果不一
样,可猜解网站目录
渗透测试指导书 文件号:LC-CS-04
2.1 版 第 0 次修订
在测试中查看网站是否自定义了
HTTP 500 错误页面(服务器错误)
等
输入错误的文件,查看是否自定义了 HTTP 500 错误页面
定义了 HTTP 500 错
误页面
Robots、爬虫分析
查看网站根目录下 robots.txt
文件;查看 Disallow:字段中是
否包含后台入口等敏感信息,例
如:Disallow: /admin
输入 www.xxx.com/robots.txt,进行查看
网站不存在
robots.txt 文件,如
果存在,但没有敏感
信息
使用扫描器爬虫对网站进行探
测,掌握网站目录结构等信息
可使用 Appscan 扫描
无法探测目录
2
2
配置
管理
测试
基础配置管理测试
对网站基础结构的已知漏洞进行
检查
Struts2 框架命令执行漏洞、thinkphp 框架命令执行漏洞、常用
CMS 漏洞(如大汉、jeecms 等)、Apache 漏洞、jboss 命令执行
漏洞等
无漏洞
对网站基础结构的配置缺陷进行
检查
目录遍历漏洞、IIS 上传漏洞等又配置不当引起的漏洞
无漏洞
应用管理界面测试
检查应用服务器后台管理界面是
否可以访问
常见的后台管理界面
Tomcat 控制台 URL:http://www.xxx.com/manager/html
无管理界面或管理
界面仅对管理员开
渗透测试指导书 文件号:LC-CS-04
2.1 版 第 0 次修订
Jboss 控制台 URL:http://www.xxx.com/admin-console
Jboss 控制台 URL:http://www.xxx.com/jmx-console
Jboss 控制台 URL:http://www.xxx.com/jbossws
WebLogic 控制台 URL:http://www.xxx.com/console
WebSphere 控制台 URL:http://www.xxx.com/admin
Axis2 控制台 URL:http://www.exmaple.com/axis2-admin/
放
对已发现的后台管理界面进行密
码破解,检测是否存在默认密码、
弱口令等
Tomcat 弱口令:admin、tomcat
Jboss 弱口令:admin、admin
Weblogic 弱口令:Weblogic
等
无弱口令
HTTP 方法测试
使用 netcat 连接 web 服务器,发
送 OPTIONS 指令,查看是否存在
PUT、DELETE、COPY、MOVE 等不
安全的 HTTP 方法
不存在存在 PUT、
DELETE、COPY、MOVE
等不安全的 HTTP 方
法
SSL/TLS 测试
检测应用传输敏感数据时是否采
用 SSL 加密
使用 Burpsuit,截获传输内容,进行查看
没有明文的用户名
和密码
剩余11页未读,继续阅读
资源评论
公众号:智慧方案文库
- 粉丝: 1984
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功