当前位置: 首页 > 原创新闻 > 渗透测试需要学什么

渗透测试需要学什么

发表于:2020-12-24 11:03 作者: mtr 阅读数(9245人)

渗透测试需要的基础技能必须有网络基础、编程基础、数据库基础、操作系统等基本技能。学习的话可以从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入,学习了这些基础技能之后,就可以进行渗透测试的深入学习了,如web方面的学习OWASP TOP 10漏洞挖掘、主机系统服务漏洞检测、App漏洞检测、内网渗透等方面。

在操作方面,渗透测试工程师需要进行以下内容的实战学习。


信息收集

信息收集是渗透测试中很重要的一步。渗透测试工程师收集关于目标尽可能多的情报和潜在的攻击目标,我们使用尽可能多的信息收集工具,包括搜索引擎和社会工程方法。渗透测试可能有用目标的不同程度的信息,并且需要按照测试的类型甄别漏洞和潜在的切入点。只有在充分的信息分析基础上,渗透测试才能轻松完成。因为信息越多,发现漏洞的概率越大。


漏洞分析

在之前收集到的信息,都可能作为渗透测试中的攻击手段,我们需要借此判断可能会出现的漏洞,并测试他们是否可以被利用。期间当然要注意不要碰触到红线,也是就事先确定好测试的范围。另外,我们在这个步骤中经常会用到一些专业的扫描工具,这里就不例举了。


攻击和修复

想要知道怎么修复漏洞,你得先知道怎么攻击,透测试工程师应该有能力在特定环境中提供漏洞的修复建议。渗透测试是建议完成之后,测试人员应该清理环境,将之前在测试阶段修改的配置复原,并协助完成漏洞的修复。


报告整理

报告是渗透测试很重要的一个方面,一方面在于它本身的价值,代表这个项目的结果;另一方面也是一次渗透测试工程师的复盘,这是一次知识的积累和沉淀。