OWASPCheckList

Checklist 非我原创,原文地址:github传送门

关于渗透测试,个人理解,由于测试目的不同,测试方法的选择也会略有差异。

以拿权限或拿数据为目的的渗透测试

有时客户需要渗透测试团队拿到服务器最高权限、或者,以拿到服务器上的敏感数据为目标,服务器数量越多越好,敏感数据拿到越多越好。
借由此证明安全防护尚有改善空间。
这时渗透团队需要尽可能快、尽可能多的找到突破口,并提权。
有些无法提权或者进一步利用的中低危漏洞,就不需要考虑太多了。

以全面安全评估为目的的渗透测试

有时客户需要渗透测试团队综合评价待测试目标的安全健壮程度,并给出改善方案。
此类渗透测试更多的是为了后续改善加固做铺垫。
要求漏洞越多越好,越全面越好。
反倒是一些风险承受能力较低的客户,会提出要求,尽可能不要exploit漏洞,点到为止即可。

这份checklist更偏向于第二类渗透测试,内容比较全面,参考价值较高。

Checklist


为您推荐了相关的技术文章:

  1. Oauth协议介绍与安全隐患
  2. 轻松组建分布式 pyspider 集群 - imlonghao
  3. ”安全线“大型目标渗透-01信息搜集|漏洞研究 - 安全技术社区
  4. 透过F5获取服务器真实内网IP - 勾陈安全实验室
  5. ProtonMail最安全且匿名邮箱免费服务 - 邮箱资源 - 如有乐享

原文链接: www.lewisec.com