本文共 2482 字，大约阅读时间需要 8 分钟。

写在前面：

刚开始接触了一些关键词如渗透，sql注入，XSS、社会工程、靶场、弱口令等就发现对此方面挺感兴趣，毕竟黑客、白帽子总给人留下很酷的印象，恰巧在

B站碰到了千峰网络培训发布的系列安全培训视频，系列课程大约有300多集，我决定利用空闲时间学习，把一些重要的笔记记录下来。

我本身是网络小白，记录的可能不完整、全面，甚至出现错误，希望大家谅解指正，也欢迎大家来交流学习！！！

虽然我走的很慢，但我仍在前进！！

千峰网络安全系列课程第一阶段网络通信篇、第二阶段Linux系统篇，第三阶段语言篇基本学习完成，详情见往期博客

往期博客：

接下来是第四阶段渗透方法、技术，也就是最后阶段的学习，311的总路程已经走过225，加油~！

目录

• 渗透测试方法论

  • 渗透测试种类
    • 黑盒测试
    • 白盒测试
    • 脆弱性评估与渗透测试

• 安全测试方法论

  • 十大应用安全风险

• OpenVAS的安装

开始

一、渗透测试方法论

渗透测试 是实施安全评估（即审计）的具体手段

方法论 是制定、实施信息安全审计方案时，需要遵循的规则、惯例和过程

人们在评估网络、应用、系统或者三者组合的安全状况时，不断摸索各种务实的理念和成熟的做法，并总结了一套理论，即渗透测试方法论

1.1 渗透测试的种类

黑盒测试

白盒测试

内部脆弱性评估与外部渗透测试

漏洞扫描

二、安全测试方法论

科学的方法认识安全弱点

开放式 Web 应用程序安全项目（www.owasp.org.cn），GitHub上也有

• 测试指南
• 开发人员指南
• 代码审查指南（OWASP Top 10 2017十大最严重的Web应用程序安全风险）
  
  

2.1 十大应用安全风险

1. A1:2017-注入
   将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预 期命令或访问数据。

2. A2:2017-失效的身份认证
   通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌， 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。像ARP、DNS欺骗等

3. A3:2017-敏感数据 泄露
   许多Web应用程序和API都无法正确保护敏感数据，例如：财务数据、医疗数据和PII数据。攻击者可 以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据 容易受到破坏，因此，我们需要对敏感数据加密，这些数据包括：传输过程中的数据、存储的数据 以及浏览器的交互数据。后台数据库泄露、源码泄露。

4. A4:2017-XML 外部 实体（XXE）
   许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃 取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻 击。外部写入XML文件，XML标签支持自定义漏洞

5. A5:2017-失效的访 问控制
   未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数 据，例如：访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。限制失效，权限过大

6. A6:2017-安全配置 错误
   安全配置错误是最常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云 存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此，我们不仅需要对所 有的操作系统、框架、库和应用程序进行安全配置，而且必须及时修补和升级它们。弱口令就属于安全配置错误

7. A7:2017跨站脚本（XSS）
   当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML或 JavaScript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器 中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

8. A8:2017-不安全的 反序列化
   不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，攻击者也可以 利用它们来执行攻击，包括：重播攻击、注入攻击和特权升级攻击。Java语言中较多

9. A9:2017-使用含有 已知漏洞的组件
   组件（例如：库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏 洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。同时，使用含有已知漏洞的组 件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。

10. A10:2017不足的日志记录和 监控
    不足的日志记录和监控，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持 续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超 过200天，且通常通过外部检测方检测，而不是通过内部流程或监控检测。

    参考：OWASP Top 10 2017 中文版手册

• 通用缺陷列表（CWE）
  某一类安全漏洞所对应的编号
• 通用漏洞与披露（CVE）
  某一个安全漏洞所对应的编号
• 其他方法论

三、OpenVAS的安装

OpenVAS 是开源的网络漏洞扫描器，自从Nessus 收费之后，分出来的项目

官网：www.openvas.org

试用方式

• Livedemo：在线的测试网站
• VirtualApplication：虚拟机ISO镜像
• Source Edition

安装

下载镜像：https://www.greenbone.net/en/install_use_gce/

新建Linux虚拟机,推荐VirtualBox安装，版本其他Linux 64 位，内存4G，硬盘9G

浏览器直接下载龟速，建议迅雷下载

注意：6.0.10版本的OpenVAS需要的硬盘大小最小15G,建议20G,否则报错不能安装

安装步骤参考

然后选择镜像文件，打开虚拟机

需要的时间有点长，等待结束即可

参考：B站千峰