渗透测试日志：实战技巧与安全等级划分

在"day2学习日志.txt"中，记录了关于第二日的学习内容，主要聚焦于IT安全领域的深入理解与实践。当天学习涉及以下几个关键知识点： 1. **编程语言与工具**：学习了VF、VB6和易语言的模拟输入习惯，这些是编程语言的基础，对于渗透测试的脚本编写至关重要。 2. **渗透测试框架**：理解了渗透测试中的专有名词，如挂马（malware）、脱库（data exfiltration）等，强调在报告中准确表达专业术语以展现权威性。 3. **业界标准与规范**：探讨了安全测试的标准，如OSSTMM（开放系统安全测试方法模型）和NISPSP800-42（网络安全测试指南），以及针对支付卡数据安全的PCIDSS（Payment Card Industry Data Security Standard）。 4. **安全等级划分**：根据信息泄露的严重程度，将安全风险分为五个等级：低危（蓝色）、中危（绿色）、高危（橙色/红色）、致命（紫色）和护网（演习），反映了不同漏洞对系统的潜在影响。 5. **渗透测试实践**：介绍了渗透测试的边界，即如何获得控制管理权限，以及PTES（渗透测试执行标准）的7阶段流程，包括发现、确认、复现和交付报告。强调了前期交互在渗透测试中的重要性，如与甲方或客户沟通策略，明确目标、范围和边界。 6. **情报收集与威胁建模**：详细阐述了情报收集的过程，包括使用各种技术手段收集资产信息，分析安全机制和防御手段，以及进行威胁建模，识别可能存在的漏洞和弱点。 7. **团队角色**：提到了红队（攻击方）、蓝队（防守方）和紫队（响应和恢复团队）在渗透测试中的角色，以及渗透测试的边界设定和过程管理。 8. **web安全渗透测试**：关注了OWASP Top 10（Web应用程序安全项目）的多次更新，特别是针对注入攻击的检测和防御。 这天的学习涵盖了从基础编程到高级渗透测试实践的全面内容，突出了安全风险管理、规范遵循和实际操作技巧的重要性。