滲透測試需要哪些技術支持

① 學習滲透測試，需要哪些基礎

滲透測試需要的基礎技能必須有網路基礎、編程基礎、資料庫基礎、操作系統等基本技能。學習的話可以從html、css、js、編程語言、協議包分析、網路互聯原理、資料庫語法等進入，學習了這些基礎技能之後，就可以進行滲透測試的深入學習了，如web方面的學習OWASP TOP 10漏洞挖掘、主機系統服務漏洞檢測、App漏洞檢測、內網滲透等方面，最後當然是能夠編寫滲透測試報告啦。

② 滲透測試中使用哪些技術方法

埠掃描

有授權的情況下直接使用 nmap 、msscan 、自己寫py腳本等埠掃描工具直接獲取開放的埠和獲取服務端的 banner 信息。

漏洞掃描

使用北極熊掃描器、Nessus、awvs、appscan等漏掃工具直接掃描目標，可以直接看到存活主機和主機的漏洞情況。

漏洞攻擊

如果只是使用埠掃描，只是發現開放的埠，在獲取 banner 信息後需要在漏洞庫（seebug，ExploitDB ）上查找對應 CVE，後面就是驗證漏洞是否存在。 安全檢查一般是盡可能地發現所有漏洞，對漏洞的風險進行評估和修復。入侵的話只關注高危遠程代碼執行和敏感信息泄露漏洞等可以直接利用的漏洞。 漏洞驗證可以找對應的 CVE 編號的 POC、EXP，利用代碼在 ExploitDB 、seebug上查看或者在 github 上搜索是否有相關的漏洞驗證或利用的工具。

Web應用

可以直接尋找注入、上傳、代碼執行、文件包含、跨站腳本、等漏洞，來進行攻擊。一般可以使用 AWVS 直接掃描常見漏洞。