下载掌阅APP,畅读海量书库
立即打开
信息收集是指在渗透测试中,对目标系统进行全面、深入、细致的调查分析,以获取其特征、状态、潜在漏洞等信息的过程。信息收集是渗透测试的基础,也是渗透测试的核心,没有信息收集,就没有渗透测试。信息收集可以帮助渗透测试人员确定目标系统的范围、类型、弱点、风险等,从而制定合理的攻击策略和方案。信息收集还可以帮助渗透测试人员避免不必要的干扰,提高渗透测试的效率和效果。
为了进行有效的信息收集,渗透测试人员需要遵循侦查的如下基本原则。
● 保持隐蔽性:尽量不让目标系统发现自己的存在和行为,以免引起目标系统的警觉和反应。
● 保持灵活性:根据目标系统的变化和反馈,及时调整信息收集的工具和方法,不要固守一种方式。
● 保持完整性:尽量收集目标系统的所有相关信息,不要遗漏或忽略任何细节。
● 保持准确性:尽量验证和过滤收集到的信息,不要信任或使用任何未经证实或可疑的信息。
从侦查的基本原则可以看出,信息收集是一个需要不断探索、发现、验证、利用信息的过程,而不是一个简单地收集和使用信息的过程。信息收集要求渗透测试人员具备一定的创造力和分析能力,以及对信息的敏感性和对信息价值的判断力。
在信息收集中,有一种非常重要的信息来源,就是开源情报。