对于安全的思考,是什么导致了安全问题?
分层思想导致安全问题(优劣),由于分层思想,每一层的人只关注自己这一层面的问题,而安全,却不是从一个层面考虑的,是从整个整体考虑的。
开发者只追求功能,导致对安全的思考不重视,从而产生漏洞。
人会犯错,这一点,是问题产生的根本。
补充:可以由一个漏洞拿下一个机器,再由一个机器拿下一片机器,以此类推,可见一个小问题,就可以引发各种大问题!
渗透测试国际标准
渗透测试的几个阶段:
情报收集:邮箱地址、联系人、公司动态等等(被动收集,不接触目标)主动收集,包括扫描之类的
补充:如果,A与B有业务来往,那么攻击者就可以控制B,由B再控制A,这里可见收集信息的重要性
威胁建模:把收集的信息进行分析,判断从哪渗透更容易
漏洞分析:从收集的信息来看目标服务器版本,是否有公开的漏洞,或者自己编写攻击代码(需要代码能力)
渗透攻击:会遇到意想不到的问题。
后渗透攻击:由一个拿下的服务器,去拿更多的服务器等等,增加危害
渗透测试报告:渗透的细节,补漏洞。。记住最好加密,防止笔记本丢失被人利用。
扫描器不是一切,完全无法发现业务逻辑漏洞!
真正的渗透高手,完全可以不用扫描器而渗透成功!
FHS标准目录结构:指的就是linux中什么文件放etc,什么文件放home这种文件归类方法。
Kali支持ARM树莓派这样的单板电脑,手机,官网下个镜像装在sd卡上就可以了
kali的网络服务默认是关闭的,即使是新装的网络服务,默认也是关闭的,自动运行的脚本,也不会自动运行。只有手动设置才能自动运行。比如:Apache服务。
逻辑梳理:
安全问题产生原因——>渗透测试流程——>kali简单介绍
课程评价:
从一个宏观的角度讲解了安全,讲解了渗透的层次。给初学者一个总体的框架概念,这比其他直接就讲的课程要好很多。最让我感动的是关于道德底线的遵守,别做坏事,遵纪守法。
