渗透测试服务 前期对客户网站APP的信息收集小结
发布时间:2023-02-13 11:16:18 所属栏目:站长资讯 来源:互联网
导读:在对客户网站以及APP进行渗透测试服务前,很重要的前期工作就是对网站,APP的信息进行全面的收集,知彼知己,才能更好的去渗透,前段时间我们SINE安全公司收到某金融客户的委托,对其旗下的网站,以及APP进行安全渗透,整个前期的信息收集过程,我们将通过文
|
在对客户网站以及APP进行渗透测试服务前,很重要的前期工作就是对网站,APP的信息进行全面的收集,知彼知己,才能更好的去渗透,前段时间我们SINE安全公司收到某金融客户的委托,对其旗下的网站,以及APP进行安全渗透,整个前期的信息收集过程,我们将通过文章的形式分享给大家. 客户提出要求要找到目前网站,APP存在的漏洞,那么我们就得对客户的网站开发语言,以及数据库类型,服务器IP,等各个方面进行全面的信息收集,掌握到的信息越多,漏洞点也会越多,找到他最薄弱的环节,将其打通,就会找到其他的漏洞。对于搜集来的信息,我们可以划分3大类,第一个就是直接可以用的信息,第二个就是间接可以用的信息,第三个就是将来可以用的信息,那这3个类如何理解?将来可以用的信息简单来讲就是新版网站开发上线前,在官方网站进行了公布,说某某平台下个月将启用新版,那么我们可以获取到的信息是,有可能该网站的新版没有进行渗透测试,就上线了,安全风险系数很高,漏洞存在率也很高。直接可以用的信息,通俗的说就是网站存在漏洞,比如SQL注入漏洞,远程代码执行漏洞,逻辑越权漏洞,短信验证码盗刷漏洞等等。间接可以用的信息,就是我们经常遇到的,网站的后台地址,以及文件上传的地址,或者是主域名下的二级域名存在网站,我们SINE安全统称为间接可以用的信息。 服务器使用的是windows系统还是linux系统搜集,系统版本号也可以通过工具扫描出来,kali系统,对服务器的端口开放情况进行全面的安全检测,服务器是否存在漏洞,包括redis未经授权访问漏洞等等,通过端口开放情况,来查看服务器运行了那些服务,以及安装的软件。 网站代码的搜集,查看网站的JS文件是否存在开源系统的痕迹,也可以通过人工搜索特征码来确定使用的CMS系统,网站开发语言,数据库类型,再检测一下网站是否存在网站防火墙,网站后台地址搜集。 以上就是我们SINE安全在前期渗透测试中需要搜集的一些信息,这项工作真的很重要,搜集的信息越多,我们越有把握找到网站存在的漏洞,所以很多客户在网站,APP上线之前一定要做全面的安全测试,以及漏洞的扫描,有些客户觉得没什么,等网站,APP用户上规模后,出现一次漏洞导致的经济损失就特别严重,发展受阻,因为体积大了,要改很麻烦。如果您对渗透测试不是太懂的话,可以找专业的渗透测试公司来帮您处理,国内SINESAFE,启明星辰,绿盟都是比较不错的,网络安全有你有我也有他,要有安全意识,也要有防范意识,双重互补才能使网站走的更远。 (编辑:南阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
