热门课程

免费试听

上课方式

开班时间

当前位置: 首页 -   文章 -   新闻动态 -   正文

渗透测试面试小知识,给你一个待检测的站,你会先做什么?

知了姐
2024-10-08 15:49:58
0

  给你一个待检测的站,你会先做什么?

  步骤1-信息收集。

  1. 取得域名的whois信息,取得注册人邮箱姓名电话等,把社工库里扔到工具库查看是否有泄漏的密码,再尝试使用泄露的密码到后台登陆。使用信箱做关键字进行输入搜索引擎。通过搜索到的相关信息来寻找其他邮箱然后获得常用的社交账户。社会工作者可以找到一个社交账户,在那里可以找到管理员设置密码的习惯。用现有的信息生成专用的词典。

  2. 查询服务器旁站和子域名站点,由于主站通常比较困难,因此首先要看看是否有通用性cms或其它漏洞。

  3. 看一看服务器操作系统的版本,web中间件,看有没有已知的漏洞,如IIS、APACHE、NGINX解析漏洞。

  4. 查看IP地址,执行IP地址的端口扫描,检查是否有漏洞,例如rsync、心脏出血、mysql、ftp、ssh弱密码等等。

  5. 浏览站点目录结构,查看是否可以浏览目录,或者敏感的文件泄露,例如php探测器。

  6. googlehack进一步检测-网站信息,后台,敏感文件。

渗透测试面试

  步骤2-漏洞扫描。

  启动探测-漏洞检测,比如XSS、XSRF、sql注入、代码执行、命令执行、越权访问、目录读取、任意文件读、下载、包含文件、远程命令执行、弱密码、上传、编辑器漏洞、暴力破解等。

  步骤3-漏洞的利用。

  利-用上述方法获取webshell或其他许可。

  步骤4——权限的升级。

  例如,mysql在windows下的udf获取权限,而serv-u对其进行授权,windows的低级漏洞,比如iis6.pr,巴西烤肉,linux牛角漏洞,linux内核版本漏洞提升,linux下的mysqlsystem授权,以及oracle低权限提权。

  步骤5-记录-清除。

  步骤6——总结报告和修复方案。

  给你一个待检测的站,你会先做什么?关注汇智知了堂成都渗透测试培训,带你了解更多相关知识和更多相关知识点。


大家都在看

渗透测试工程师需要学什么?渗透需要掌握Java吗

2024-10-08 浏览次数:0

使用Filter实现用户自动登陆

2024-10-08 浏览次数:0

改变自己,从参加Java开发工程师培训班开始

2024-10-08 浏览次数:0

鸿蒙开发需要什么基础?

2024-10-08 浏览次数:0

成都java培训班有用吗?有没有靠谱的机构推荐?

2024-10-08 浏览次数:0

成都渗透测试培训机构哪家好一点?成都渗透测试培训...

2024-10-08 浏览次数:0
最新资讯
渗透测试面试小知识,中间人攻击...   中间人攻击是一种(缺少)相互认证的攻击;这是因为客户机和服务器在SSL握手期间缺少相互认证所造成...
渗透测试面试小知识,给你一个待...   给你一个待检测的站,你会先做什么?  步骤1-信息收集。  1. 取得域名的whois信息,取得...
高级渗透测试面试题及答案解析,... 随着国家对网络安全的日渐重视,渗透测试工程师也变得受欢迎,目前入行的渗透测试工程师也是越来越多,但是...
【网络安全】渗透测试面试会问那... 渗透测试面试会问那些问题?面试集锦2
【网络安全】渗透测试面试会问那... 渗透测试面试会问那些问题
渗透测试面试题及答案详解,助你... 在网络安全培训机构经过一段时间的系统学习,许多朋友将开始面试,面试最关键的是面试问题,许多学生在即将...
校招护航|信安渗透测试面试题来... 知了姐喊你来刷题啦!要想面试能成功,刷题一定要用功!