什么是渗透测试?| 什么是渗透测试?
什么是渗透测试?
渗透测试是一项安全演习,网络安全专家尝试查找和利用计算机系统中的漏洞。模拟攻击的目的是识别攻击者可以利用的系统防御中的薄弱环节。
这就像银行雇用别人假装盗匪,让他们试图闯入建筑物并进入保管库一样。如果“盗匪”成功,进入了银行或保险库,则银行将了解到他们需要如何加强安全措施的宝贵信息。
应该由谁进行渗透测试?
最好由对系统的保护措施几乎没有先验知识的人进行渗透测试,因为他们也许能够暴露构建系统的开发人员忽略的盲点。因此,通常会邀请外部承包商进行测试。这些承包商通常被称为“文明黑客”,因为他们是受雇在未经许可的情况下入侵系统,以便为客户提高安全性。
许多文明黑客都是经验丰富的开发人员,他们拥有高级学位并持有渗透测试证书。另一方面,一些最优秀的文明黑客是自学成才的。实际上,有些黑客是改过自新的罪犯,他们现在利用其专业知识来帮助修复安全漏洞,而不是加以利用。进行渗透测试的最佳人选可能会因目标公司和他们要发起的渗透测试类型而异。
渗透测试有哪几种?
开放盒渗透测试 - 在开放盒测试中,黑客将提前获得有关目标公司安全信息的一些信息。
封闭渗透测试 - 也称为“单盲”测,在这种测试中,除了目标公司的名称之外,黑客不会得到任何背景信息。
隐蔽式渗透测试 - 也称为“双盲”渗透测试,在这种情况下,公司中几乎没人意识到正在进行渗透测试,包括将响应攻击的 IT 和安全专业人员。在隐蔽式测试中,黑客有必要事先以书面形式确定测试的范围和其他细节,这样才能避免执法方面的问题。
外部渗透测试 - 在外部测试中,文明黑客需要破坏公司的外部技术,例如其网站和外部网络服务器。在某些情况下,黑客甚至不能进入公司建筑物。这可能意味着他们要从远程位置进行攻击,或者从停在附近的卡车或货车进行测试。
内部渗透测试 - 在内部测试中,文明黑客从公司的内部网络执行测试。这种测试可用于确定心怀不满的员工可能会从公司防火墙之后造成多大的损害。
典型的渗透测试如何进行?
渗透测试从侦察阶段开始,在此阶段,文明黑客花时间收集数据和信息,以用于规划模拟攻击。之后,重点就变成了获取和维护对目标系统的访问权,这需要用到广泛的工具集。
攻击工具包括旨在产生暴力攻击或 SQL 注入的软件。还有专门用于渗透测试的硬件,例如可以插入网络中的计算机以使黑客能够远程访问网络的不起眼的小盒子。此外,文明黑客可能会使用社交工程技术查找漏洞。例如,向公司员工发送网络钓鱼电子邮件,甚至伪装成送货员,亲自进入建筑物。
黑客在测试结束时会掩盖自己的足迹;这意味着删除嵌入式硬件,尽一切可能避免检测,并完全恢复目标系统的原状。
渗透测试后会发生什么?
完成渗透测试后,文明黑客将与目标公司的安全团队分享他们的发现结果。然后,安全团队可以使用这些信息来实施安全升级,以修补在测试期间发现的所有漏洞。这些升级可能包括 Rate Limiting、新的 WAF 规则和 DDoS 防护,以及更严格的表单验证和清理。
什么是渗透测试?| 什么是渗透测试?相关推荐
- 渗透测试工作流程渗透测试类型法律边界
渗透测试工作流程渗透测试类型法律边界 渗透测试工作流程 渗透测试与其它评估方法不同.通常的评估方法是根据已知信息资源或其它被评估对象,去发现所有相关的安全问题.渗透测试是根据已知可利用的安全漏洞,去发 ...
- 移动安全app渗透测试之渗透流程、方案及测试要点讲解
被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼,说好的web渗透测试和服务器端渗透测试呢,虽然懵逼,不过凭借我强大的自学能力, ...
- [ 渗透入门篇 ] 从渗透测试执行标准着手的渗透学习大纲。掌握了这些知识点还担心找不到工作?
想要学好渗透,就必须须知渗透测试流程标准. 这篇文章根据诸葛建伟翻译脑图来介绍渗透率流程执行标准. 以思维导图为主,后续会有每一个知识点的详细介绍. 学会了这些知识点,工作应该是妥妥的. 一.渗透测试 ...
- 渗透分支写脚本_给小白的黑盒渗透测试作业——漏洞分析测试到安全加固建议...
概述 2016.12.22收到关于海洋网站及内网的的渗透测试项目,并对海洋CMS进行黑盒渗透测试.本次渗透测试对存在的漏洞进行了仔细的分析和测试,以了解该站点和对应的内网的安全程度,同时给出相应的安全 ...
- 渗透测试基础 - APP渗透测试(上)
渗透测试基础- APP渗透测试(上) 简介 抓取手机数据包 实战APP渗透测试 漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来.我们一起为了遇见更好的自己而努力
- 渗透测试-[Meterpreter后渗透25招]
渗透测试-[后渗透25招] 0.实验环境 1.MS08-067漏洞描述[RPC] 2.主机发现 3 利用MSF通过ms08-067漏洞渗透目标系统 4.后渗透利用 4.1.系统信息搜集 (1)获取系统 ...
- kali渗透技术实战——搭建渗透测试环境
如果想要了解系统的安全状况,那么可以进行渗透测试,找出系统中的漏洞,验证是否存在安全隐患. 渗透测试的含义不只是评估,它会用已发现的漏洞来进行测试,以验证该漏洞是真实存在还是只是虚惊一场(假阳性).举 ...
- python api测试框架_python api 测试框架
python常用框架 Django: Python Web应用开发框架 Django 应该是最出名的Python框架,GAE甚至Erlang都有框架受它影响.Django是走大而全的方向,它最出名的是 ...
- 2022“点点点”测试员如何上岸测试开发岗?附完整学习路线!
有很多人员会不断问自己,自己到底要不要学测试,或者要不要坚持做测试,测试的职业发展到底怎么样?如果你还在迷茫,在到处找各种大牛问类似的问题,我希望这篇文章,你看完能够结束你的这个烦恼,给你更多的指明方 ...
- 软件测试基础 按照测试对象划分 界面测试(UI测试.响应式页面 可靠性测试 容错性测试 文档测试 平台测试 易用性测试等
软件测试进阶 1.APP 的测试 2. 按照测试对象划分 2.1界面测试(UI测试) 3.响应式页面 4.可靠性测试 5.容错性测试 6.文档测试 7.平台测试: 7.1 PC: 7.2.手机端: 8 ...
最新文章
- 怎样理解公钥,私钥和数字签名
- HTTP Referer二三事---转
- Normalization在CTR问题中的迷之效果
- hdfs namenode -format 初始化创建不了目录的问题
- Java并发同步器AQS(AbstractQueuedSynchronizer)学习笔记(2)
- Python 反爬篇之 ID 混淆
- 解决POI大数据导出Excel内存溢出、应用假死
- 微软-IT-解决方案-统一沟通-发布会
- 快速排序---计数排序
- 数据库索引失效的一些场景
- 16进制颜色代码对照表
- Linux内核版本和发行版本
- 高效工具推荐:技术人员必备的3个知识收藏工具(浏览器插件)
- 6-7 快速排序 (15 分)
- 软件测试外包的战术有哪些
- Web 开发技术文档大全
- 爬取百大弹幕,大家还是喜欢上罗老师的课!
- 职场新人如何发公司内部邮件
- 小米4A刷入breed教程
- input框不能输入
热门文章
- android 9.0 10.0 去掉锁屏功能和息屏功能(永不息屏)
- Mongodb 被忽略的 数据类型 索引种类 与限制 与如何导向开发者 (1 常用数据类型)...
- Epic与苹果#FreeFortnite
- fifaol3服务器位置,《FIFA OL3》最热位置观察 传奇球星遍布服务器
- kali安装java8
- c# 0x8007007e:找不到指定模块
- 管理员模式 运行msi_如何强制使用管理员模式安装MSI软件包
- 2021年安全员-B证-项目负责人(广东省)考试试卷及安全员-B证-项目负责人(广东省)试题及解析
- linux在图形处理器,Krita 3.0 BETA 发布,KOffice 的图形处理器
- Redis Cluster “cluster nodes”命令