什么是shentou测试
shentou测试,是指对计算机系统进行模拟gongji,从而对其安全性进行验证。
从黑客的角度,最主要的gongji目标通常就是网站(Web),所以通常所说的shentou测试基本上都是指针对网站的Web shentou 测试。
“shentou”这个词是非常形象的,对任何一个系统的gongji,通常都是一个复杂而漫长的过程,而且很可能在经过反复尝试之后,最终也无法找到突破点。当然能否成功shentou,除了目标系统的安全性之外,shentou测试人员的技术实力和实战经验也必然都是一些重要影响因素。
shentou测试工作的技术性非常强,当然,相应工作岗位的待遇也比较高:
下面的课程将从零基础开始,对Web shentou 测试做一下整体性的介绍。
shentou测试的基本流程
之前说过,一次成功的shentou测试通常都是一个复杂而漫长的过程,下面的这幅流程图,也主要是从shentou测试所要达到的目标这个角度来做下简单介绍。
在明确了shentou目标之后,shentou测试的第一步通常都是信息收集,也就是要尽可能全面地收集目标系统的敏感信息。当然,具体要收集什么敏感信息,这将在后面的课程中进行详细介绍。
在掌握了足够多的信息之后,接下来就要分析其中是否存在可以利用的漏洞。世界上没有完美的事物,理论上任何系统都会存在着各种各样的漏洞。但如果这个漏洞的危险级别比较低(低危漏洞),或者是因为种种限制,这个漏洞无法被有效利用,那么这都将导致shentou测试被迫结束。
对于shentou测试人员,最有价值的就是那些可以造成严重危害的高危漏洞。从上面的流程图可以看出,shentou测试人员的主要目的就是希望可以借助于高危漏洞来获取系统权限,从而控制整台服务器。
当然,对于一个真正零基础的同学,可能一时还很难理解什么是获取系统权限,怎样才是控制了整台服务器?这并不要紧,在后续的课程中,都将对这些概念进行详细介绍。
