滲透測試使用殺鏈框架時要注意什么

滲透測試使用殺鏈框架時要注意以下方面：

• 確定目標站點，特別是關于在哪里，以及它是如何托管的。

• 枚舉目標網站的目錄結構和文件，包括確定是否在用一個內容管理系統（Content Management System，CMS）。這可能包括下載網站做離線分析，如文檔的元數據分析，并利用網站創建一個自定義詞表（使用密碼破解程序，如crunch）。它還確保識別所有支持文件。

• 確定身份驗證和授權機制，并確定在與網絡服務的交易中，如何維護會話的狀態。這通常包括對cookies的分析和它們是如何使用的。

• 枚舉所有的表格。這些是用戶輸入數據以及與Web服務進行交互的主要手段，這些都是一些可利用的漏洞的具體地點，如SQL注入攻擊、跨站腳本。

• 識別接受輸入的其他領域，如允許文件上傳的頁面，以及可接受的上傳文件類型的任何限制。

• 標識如何處理錯誤，并且由用戶接收的實際的錯誤消息；往往該錯誤將提供有價值的內部信息，如使用軟件的版本或內部的文件名和進程。

• 確定哪些頁面需要和保持安全套接字層協議或其他安全協議。

回答所涉及的環境：聯想天逸510S、Windows 10。