看到一篇老外的文章《Documenting your Pentest》,貌似目前大家做一些渗透测试或者说练手什么的,很多都是事后补图或者说事后回想来根据文档记录,基本没有人会进行全程的记录等。但是随着行业的发展,我认为这是一件以后需要做的事情,理由有下面几点:
- 渗透测试往往是破坏性的,有可能你在做一些尝试的时候会把服务器或者web程序搞挂,然后回想不起刚刚提交的参数等等,导致无法恢复。
- 正规授权商业测试的时候,严格来说,可以记录你的所有行为,提交给甲方,否则出了什么问题你自己都说不清。
- 对于自己来说,可以清晰地回忆起整个过程和思路,对于后期的总结和思考有着重要的作用,老了以后或者是一种回忆?
总结一下如何全方位记录渗透测试的过程:
NETWORK LEVEL DOCUMENTATION
Buy or build a network tap and use tcpdump or Wireshark/Tshark to capture all data coming to/from your machine(s).
COMMAND LEVEL DOCUMENTATION
Use script to log all console output.
Use Metasploit’s spool command to record all Metasploit activity.
Both Burp and ZAP record all session information. Save the session before closing down.
REPORT LEVEL DOCUMENTATION
Dradis Framework
MagicTree
KeepNote
Growly Notes
本文标题:全方位记录渗透测试的过程
转载请注明来源,如果喜欢本站可以Feed订阅本站。
0 条评论。