滲透的本質(zhì)是一個(gè)不斷提高其權(quán)限的過(guò)程。黑客可以通過(guò)提高目標(biāo)系統(tǒng)的權(quán)限獲得更多關(guān)于目標(biāo)系統(tǒng)的敏感信息，我們也可以通過(guò)滲透評(píng)估目標(biāo)系統(tǒng)的信息安全風(fēng)險(xiǎn)。滲透較重要的環(huán)節(jié)是目標(biāo)系統(tǒng)Web應(yīng)用程序進(jìn)行滲透試驗(yàn)，找出Web因此，滲透試驗(yàn)是應(yīng)用的安全漏洞Web安全防護(hù)的第一步也是進(jìn)一步深度防御的敲門(mén)磚。

1、滲透概念

什么是滲透？滲透英文名稱penetration test，簡(jiǎn)稱為pentest。滲透沒(méi)有標(biāo)準(zhǔn)的定義一些安全組織達(dá)成共識(shí)的一般說(shuō)法是，滲透是指模擬攻擊者入侵以評(píng)估計(jì)算機(jī)系統(tǒng)安全的行為，這是一種授權(quán)行為。該過(guò)程包括積極分析系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞，這是從攻擊者可能存在的位置進(jìn)行的，并有條件積極利用該位置的安全漏洞。換句話說(shuō)，滲透是指滲透人員在不同位置（如內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)等位置）使用各種方法特定網(wǎng)絡(luò)，發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞，然后輸出滲透報(bào)告并提交給網(wǎng)絡(luò)所有者。根據(jù)滲透人員提供的滲透報(bào)告，網(wǎng)絡(luò)所有者可以清楚地了解系統(tǒng)中存在的安全風(fēng)險(xiǎn)和問(wèn)題。滲透還具有兩個(gè)明顯的特點(diǎn)：滲透是一個(gè)漸進(jìn)、逐步深入、持續(xù)改進(jìn)權(quán)限的過(guò)程；滲透的選擇不影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。想象一下：實(shí)時(shí)更新網(wǎng)絡(luò)安全策略。也做好了相關(guān)的網(wǎng)絡(luò)安全加固，部署了相關(guān)的安全產(chǎn)品，確保所有的安全問(wèn)題都得到了解決。為什么進(jìn)行滲透？因?yàn)闈B透可以獨(dú)立檢測(cè)你的網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和問(wèn)題，換句話說(shuō)，它為你的系統(tǒng)安裝了一雙金眼睛！

2、滲透試驗(yàn)過(guò)程

滲透一般分為黑盒和白盒，在大多數(shù)情況下是黑盒。滲透過(guò)程一般分為信息收集、制定滲透計(jì)劃和實(shí)施、積累目標(biāo)信息、分析信息、進(jìn)一步攻擊、獲取目標(biāo)系統(tǒng)權(quán)限、提高目標(biāo)系統(tǒng)權(quán)限、進(jìn)入內(nèi)部網(wǎng)絡(luò)、域控滲透、控制整個(gè)內(nèi)部網(wǎng)絡(luò)、對(duì)目標(biāo)提出安全建議。這是一些滲透過(guò)程，每一步都是決定是否繼續(xù)滲透的關(guān)鍵。

3、滲透思路

我們以“以攻促防”的思想為前提，大致敘述下滲透的思路。我們敘述它的主要目的是讓大家學(xué)會(huì)從攻擊者的角度促進(jìn)網(wǎng)絡(luò)安全的防御，這樣，大家才能夠真正地意識(shí)到網(wǎng)絡(luò)攻擊的危害性，能夠更好地保護(hù)自己的網(wǎng)絡(luò)和保護(hù)自己的網(wǎng)絡(luò)中的重要資產(chǎn)信息。以下是在平時(shí)進(jìn)行滲透的時(shí)候，習(xí)慣使用的一些滲透思路，這些思路可幫助滲透工程師迅速找到突破口