渗透测试介绍

漏洞：缺陷->获取权限->远程控制电脑

OWASP：开放式Web应用程序安全项目，是一个非盈利组织，不附属于任何企业或财团，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。OWASP项目最具权威的就是其“十大安全漏洞”。

渗透项目执行流程

1、项目启动阶段

1、确认渗透测试范围：与客户沟通确认渗透测试服务范围、期望。根据实际情况制定实施方案、组织召开项目启动会，输出会议纪要。
2、签署保密协议。
3、了解渗透测试风险：提交风险告知书，并告知客户渗透测试风险。
4、签署渗透测试授权函。
5、再次核实渗透测试范围。（资产信息表。）

2、项目执行阶段

1、提供可接入的渗透测试环境。(调试渗透测试环境并展开渗透测试。)
2、授权开展横向、深入渗透测试。
3、接收渗透测试报告，并安排专人进行漏洞修复。(输出渗透测试报告，渗透测试报告通过内部评审后提交给客户。)
4、发起漏洞复测申请，复测工作完成后接收渗透测试复测报告。(安排专人进行渗透测试漏洞复测，复测结束后输出渗透测试复测报告，报告通过内部评审后提交给客户。)

3、项目验收阶段

接收胶装打印的材料，在验收报告上签字确认。（提交胶装的渗透测试报告，并提供验收报告模板，方便进行项目验收。）

渗透技术总结

1、信息收集：发现更多的系统。
2、漏洞扫描：发现系统漏洞。
3、渗透攻击：对系统漏洞进行攻击。
4、提权：获取管理员权限。
5、后渗透：内网渗透等。
6、持续控制：永久后门，打通内外网隧道。