ToB企服应用市场:ToB评测及商务社交产业平台

标题: 零基础到红队渗透笔记 day3 安全见闻 （2） [打印本页]

---

作者: 一给    时间: 2024-11-27 14:43
标题: 零基础到红队渗透笔记 day3 安全见闻 （2）
day3 安全见闻 （2）

声明：
本系列笔记只为纪录学习过程和师傅们探讨，发布在站内的版本经我本人反复查对，已对涉密及敏感信息举行处理，如涉及侵权或违规请联系我马上删除文章。笔记所提到的统统内容，只做学习和交流用途，严禁用于任何非法或未授权的用途！！如有违规操作与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自尊！！！！

感谢泷羽sec团队提供的免费渗透测试系列视频课程，有兴趣的小伙伴可以点击下面毗连进入b站主页B站泷羽sec

协议实现问题

• 编程错误
  
• 第三方库和组件的安全问题
  

6、协议计划缺陷

• 缺乏安全思量的计划
  
• 协议升级带来的安全风险
  

7、移动通讯协议安全问题

• 无线网络的特殊性
  
• 移动应用的安全风险
  

8、物联网通讯协议安全问题

• 大量设备的管理困难
  
• 异构性带来的安全问题
  

9、工业控制系统通讯协议安全问题

• 及时性要求与安全的冲突
  
• 与传统IT行业的融合带来的风险
  

---

热门证书

   OSCP(Offensive Security Certified Professional)

  OSCP 是由 Offensive Security(Kali系统方) 提供的认证，主要针对渗透测试领域的从业者。它被广泛以为是信息安全行业内最具实践性和技术含量的认证之一。
  

• 考点：
  
  
  
  • 信息收集
    包罗网络侦察、端口扫描、服务识别等。
    
  • 漏洞发现
    常见漏洞如sql注入、缓冲区溢出、文件上传漏洞等。
    
  • 漏洞利用
    掌握各种漏洞的利用方法，获取系统权限。
    
  • 后渗透测试
    包罗权限提升、横向移动、数据窃取等。
    
  
  
• 练习方法
  
  
  
  • 学习基础知识：掌握网络、操作系统、数据库等基础知识，了解常见漏洞类型和利用方法。
    
    
    
    • 搭建实验环境：利用假造机搭建各种渗透测试环境，举行实践操作。
      
      
      
      • 参加培训l课程：Offensive Security 扌提供官方培训课程，也有一些第三方培训机构提供相关课程
        
        
        
        • 练习靶场：利用在线渗透测试靶场，如 Hack The Box、VulnHub等举行练习。
          
        
        
      
      
    
    
  
  

    OSEP(Offensive Security Experienced Penetration Tester)

  OSEP 是 Offensive Security 提供的更高级别认证，适合已经掌握 OSCP 内容，且想进一步提升高级渗透测试技术的从业者。它专注于绕过防御机制和实施复杂攻击。
  主要内容：

  

• 绕过现代防御系统（如防病毒、EDR）。
  
• 高级漏洞利用（如绕过防御和安全机制）。
  
• 社会工程与 Web 应用攻击。
  
• 后渗透测试技术，包罗数据窃取、权限维持。
  
• 红队与蓝队协作相关知识。
  

  适合人群：

  

• 已通过 OSCP 或有丰富渗透测试经验的高级安全从业者。
  
• 盼望在红队模仿、社会工程、复杂网络攻击方面进一步提高技能的安全人员。
  

  考试情势：

  

• 实战测试：需绕过多层防御并攻破复杂的环境。
  

  难度：

  

• 比 OSCP 更高，需要熟悉高级渗透技术。
  
• 需具备肯定的编程能力（如 PowerShell 和 C#）和防御机制知识。
  

  CISSP(Certified Information Systems Security Professional)

   定位：

  CISSP 是由 (ISC)² 提供的国际公认的信息安全管理与战略证书，主要针对信息安全的管理人员和高级顾问。
  主要内容：

  CISSP 覆盖了 8 个信息安全领域，全面侧重安全战略和管理：
  

• 安全与风险管理。
  
• 资产安全。
  
• 安全架构与工程。
  
• 通信与网络安全。
  
• 身份与访问管理。
  
• 安全评估与测试。
  
• 安全运维。
  
• 软件开发安全。
  

  适合人群：

  

• 高级安全顾问、安全架构师、信息安全管理者。
  
• 负责企业信息安全战略、政策制定的人员。
  
• 盼望从事 CISO（首席信息安全官）或类似高级管理职位的人。
  

  考试情势：

  

• 理论为主：采用多选题情势（CAT 自适应测试）。
  
• 需要展示全面的信息安全理论知识。
  

  难度：

  

• 对管理和理论知识要求高。
  
• 需要至少 5 年安全领域工作经验（可通过相关教育或认证减免部分）。
  

  

---

硬件设备的网络安全问题点

1、物理安全问题

• 设备被盗或破坏
  
  
  
  • 撬锁、伪装的补缀人员等接近机房。
    
  
  
• 环境因素
  
  
  
  • 温度、湿度、尘土等导致设备故障，让攻击者有可乘之机。
    
  
  

2、供应链安全问题

• 冒充伪劣产物
  
• 恶意软件植入
  
• 供应链中断
  

3、设备漏洞问题

• 操作系统漏洞
  
• 固件漏洞
  
• 硬件计划漏洞
  

4、网络毗连问题

• 网络攻击
  
• 无线毗连安全问题
  
• 网络隔离问题
  

---

‍

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4