我們收集的信息越多，我們就越有信心找到網站上的漏洞。因此，在網站和應用程序上線之前，你可以找一家專業的滲透測試公司來幫你處理。國內的新加坡國家外匯管理局、祁鳴陳星和綠色聯盟都比較好。網絡安全包括你和我。你應該有安全意識和預防意識。只有通過雙重互補，網站才能走得更遠。

在對客戶網站和應用程序進行滲透測試服務之前，非常重要的前期工作是全面收集網站和應用程序的信息，以便更好地滲透。

我們將通過文章與您分享整個初步信息收集過程。無論是安全工程師還是白貓，在滲透測試過程中信息收集的重要性是非常明顯的。我們將從我們的角度收集和滲透。首先，我們必須理解為什么信息收集在第一步是必要的，因為只有當我們真正了解客戶時，我們才能了解我們的敵人和我們自己。進攻和防守是我們之間的競爭過程。等級越高，魔法等級越高。我們彼此理解得越好，我們就能越好地融入滲透測試。

客戶要求找出當前網站和應用程序中的漏洞，然后我們必須對客戶的網站開發語言以及數據庫類型、服務器知識產權等方面進行全面的信息收集。我們掌握的信息越多，漏洞就越多。找到他最薄弱的一環，打開它，就會發現其他漏洞。對于收集的信息，我們可以將其分為三類。

第一種是直接可用的信息，第二種是間接可用的信息，第三種是將來可以使用的信息。你如何理解這三個類別？

未來可以使用的信息很簡單，就是在新版本的網站開發和發布之前，官方網站就已經公布了，稱新版本將于下月在平臺上發布。我們可以獲得的信息是，該網站的新版本有可能在沒有滲透測試的情況下推出，具有高安全風險系數和高漏洞率。一般來說，可以直接使用的信息是網站中存在漏洞，如SQL注入漏洞、遠程代碼執行漏洞、邏輯越權漏洞、短信驗證碼盜版漏洞等。可以間接使用的信息是網站的后端地址和上傳文件的地址，或者網站上存在主域名下的二級域名，我們統稱為可以間接用于的信息。

如果有第二個域名，您可以PING下一個第二個域名的服務器IP地址。使用PING工具，檢查服務器中是否存在任何漏洞，包括redis未授權訪問漏洞等。通過端口打開，服務器可以檢查哪些服務正在運行以及軟件已安裝。收集網站代碼，檢查網站的JS文件是否有開源系統的痕跡，或者手動搜索特征碼來確定CMS系統、網站開發語言、使用的數據庫類型，然后檢查網站是否有網站防火墻和網站背景地址集合。這些是我們在早期滲透測試中為需要收集的一些信息。這項工作非常重要。

關于客戶網站APP的信息收集的經驗介紹由東莞網站制作編輯 http://www.dalld.com/jx/news/5276.html如需轉載請注明出處

東莞網站制作 東莞微信小程序開發 東莞網頁設計 東莞網頁制作 東莞建網站 寶雞網站建設 鶴山網站建設 中山網站建設 潮州網站建設 安慶網站建設 蕪湖網站設計 陽江網站設計 金華網站設計 福州網站設計 廉江網站設計 上海小程序制作 德陽小程序制作 清遠小程序制作 克拉瑪依小程序制作 陸豐小程序制作