Skip to content

Web安全学习笔记 //简单过一遍,不懂问题记录下来

OWASP Web Security Testing Guide //第四章:WEB渗透测试

备忘录

hacktricks //渗透测试的备忘录,包括WEB渗透测试,各种端口协议测试方法。漏洞简介、挖掘方式、绕过思路、参考文章

安全知识框架

最重要的是多动手

hackthebox //靶机质量高,有新手学习项目

hackthebox教学文章 //下文为入门课程第一节

信息安全概述


信息安全(infosec)是一个广阔的领域。在过去的几年里,该领域得到了很大的发展和发展。它提供了许多专业,包括但不限于:

  • 网络和基础设施安全
  • 应用安全
  • 安全测试
  • 系统审计
  • 业务连续性规划
  • 数字取证
  • 事件检测和响应

简而言之,信息安全是保护数据免遭未经授权的访问、更改、非法使用、中断等的做法。信息安全专业人员还采取行动减少任何此类事件的整体影响。

数据可以是电子的或物理的和有形的(例如,设计蓝图)或无形的(知识)。在我们的信息安全职业中经常出现的一个常见短语是保护“数据的机密性、完整性和可用性”或CIA triad.


风险管理流程

数据保护必须专注于高效而有效的策略实施,而不会对组织的业务运营和生产力产生负面影响。为了实现这一点,组织必须遵循一个称为risk management process. 这个过程包括以下五个步骤:

解释
Identifying the Risk 识别企业面临的风险,例如法律、环境、市场、监管和其他类型的风险。
Analyze the Risk 分析风险以确定其影响和概率。风险应该映射到组织的各种政策、程序和业务流程。
Evaluate the Risk 评估、排序和确定风险的优先级。然后,组织必须决定接受(不可避免)、避免(改变计划)、控制(减轻)或转移风险(保险)。
Dealing with Risk 尽可能消除或控制风险。这是通过直接与风险相关的系统或流程的利益相关者进行交互来处理的。
Monitoring Risk 必须不断监测所有风险。应不断监控风险,以发现任何可能改变其影响评分的情况变化i.e., from low to medium or high impact

如前所述,信息安全的核心原则是信息保障,即维护CIA数据并确保在事件发生时不会以任何方式、形状或形式受到损害。事件可能是自然灾害、系统故障或安全事件。


红队与蓝队

在信息安全中,我们通常会听到术语red teamblue team. 用最简单的话来说,red team攻击者扮演攻击者的角色,而blue team防御者扮演防御者的角色。

红队队员通常在闯入组织中扮演对手角色,以识别真正的攻击者可能利用来破坏组织防御的任何潜在弱点。红队方面最常见的任务是渗透测试、社会工程和其他类似的攻击性技术。

另一方面,蓝队占信息安全工作的大部分。它负责通过分析风险、制定策略、响应威胁和事件以及有效使用安全工具和其他类似任务来加强组织的防御。


渗透测试员的角色

安全评估员(网络渗透测试员、Web 应用程序渗透测试员、红队等)帮助组织识别其外部和内部网络中的风险。这些风险可能包括网络或 Web 应用程序漏洞、敏感数据暴露、配置错误或可能导致声誉受损的问题。优秀的测试人员可以与客户一起识别其组织面临的风险,提供有关如何重现这些风险的信息,并就如何减轻或补救测试期间发现的问题提供指导。

评估可以采取多种形式,从针对所有范围内系统和应用程序的白盒渗透测试以识别尽可能多的漏洞,到网络钓鱼评估以评估风险或员工的安全意识,再到围绕红队进行有针对性的评估模拟现实世界威胁行为者的场景。

我们必须了解组织面临的风险及其环境的大局,才能准确评估和评估在测试期间发现的漏洞。深入了解风险管理流程对于任何开始从事信息安全工作的人来说都是至关重要的。

本模块将重点介绍如何从动手的角度开始信息安全和渗透测试,特别是选择和导航渗透测试发行版,学习常用技术和基本工具,学习渗透测试的水平和基础知识,破解我们的第一个HTB 上的 box,如何最有效地查找和寻求帮助,常见的潜在问题,以及如何浏览 Hack the Box 平台。

虽然本模块使用 Hack The Box 平台和故意易受攻击的机器作为示例,但展示的基本技能适用于任何环境。