任务1:Kali linux 渗透测试介绍

对于安全的思考,是什么导致了安全问题?

分层思想导致安全问题(优劣),由于分层思想,每一层的人只关注自己这一层面的问题,而安全,却不是从一个层面考虑的,是从整个整体考虑的。

开发者只追求功能,导致对安全的思考不重视,从而产生漏洞。

人会犯错,这一点,是问题产生的根本。


补充:可以由一个漏洞拿下一个机器,再由一个机器拿下一片机器,以此类推,可见一个小问题,就可以引发各种大问题!

渗透测试国际标准

渗透测试的几个阶段:

情报收集:邮箱地址、联系人、公司动态等等(被动收集,不接触目标)主动收集,包括扫描之类的

补充:如果,A与B有业务来往,那么攻击者就可以控制B,由B再控制A,这里可见收集信息的重要性

威胁建模:把收集的信息进行分析,判断从哪渗透更容易

漏洞分析:从收集的信息来看目标服务器版本,是否有公开的漏洞,或者自己编写攻击代码(需要代码能力)

渗透攻击:会遇到意想不到的问题。

后渗透攻击:由一个拿下的服务器,去拿更多的服务器等等,增加危害

渗透测试报告:渗透的细节,补漏洞。。记住最好加密,防止笔记本丢失被人利用。


扫描器不是一切,完全无法发现业务逻辑漏洞!

真正的渗透高手,完全可以不用扫描器而渗透成功!


FHS标准目录结构:指的就是linux中什么文件放etc,什么文件放home这种文件归类方法。

Kali支持ARM树莓派这样的单板电脑,手机,官网下个镜像装在sd卡上就可以了


kali的网络服务默认是关闭的即使是新装的网络服务,默认也是关闭的,自动运行的脚本,也不会自动运行。只有手动设置才能自动运行。比如:Apache服务。

逻辑梳理:

安全问题产生原因——>渗透测试流程——>kali简单介绍

课程评价:

从一个宏观的角度讲解了安全,讲解了渗透的层次。给初学者一个总体的框架概念,这比其他直接就讲的课程要好很多。最让我感动的是关于道德底线的遵守,别做坏事,遵纪守法。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容