滲透測(cè)試(Penetration Test)是一種通過(guò)模擬黑客可能使用的攻擊方式和漏洞挖掘行為�,對(duì)目標(biāo)信息系統(tǒng)的安全進(jìn)行深入的評(píng)估的一種信息安全技術(shù)。滲透測(cè)試的目的是通過(guò)直觀的讓信息系統(tǒng)管理人員了解自身信息系統(tǒng)所面臨的問(wèn)題��。通過(guò)滲透測(cè)試��,可以發(fā)現(xiàn)目標(biāo)系統(tǒng)中的安全漏洞�����,幫助信息系統(tǒng)管理人員更好的保護(hù)核心業(yè)務(wù)系統(tǒng)。同時(shí)為安全加固提供依據(jù)�,幫助業(yè)務(wù)系統(tǒng)安全,穩(wěn)定運(yùn)行��。
是一種對(duì)客戶的信息系統(tǒng)����,通過(guò)專業(yè)的信息安全工具,進(jìn)行掃描����,而后根據(jù)分析結(jié)果,由資深安全技術(shù)工程師模擬黑客工作方式對(duì)發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證性滲透測(cè)試的服務(wù)��。目的在于發(fā)現(xiàn)目標(biāo)系統(tǒng)中的安全漏洞�����,在安全事件發(fā)生前發(fā)現(xiàn)安全漏洞�����,防范于未然,最大程度減少系統(tǒng)遭受黑客攻擊的可能���。
它類(lèi)似于軍隊(duì)里的實(shí)戰(zhàn)演習(xí)或沙盤(pán)推演的概念���,通過(guò)實(shí)戰(zhàn)和推演,讓用戶清晰了解目前網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的脆弱性����、可能造成的影響,以便采取必要的防范措施�����。
滲透測(cè)試包括黑盒測(cè)試和灰盒測(cè)試兩種:
黑盒測(cè)試:
黑盒滲透測(cè)試是指滲透測(cè)試工程師除客戶提供的測(cè)試目標(biāo)外對(duì)系統(tǒng)一無(wú)所知的條件下進(jìn)行的滲透測(cè)試�,此類(lèi)滲透測(cè)試適用于大部分功能對(duì)外部開(kāi)放的應(yīng)用系統(tǒng)。
灰盒測(cè)試:
灰盒滲透測(cè)試是指測(cè)試者可以通過(guò)正常渠道向被測(cè)單位取得各種資料���,包括網(wǎng)絡(luò)拓?fù)洹T工資料以及信息系統(tǒng)登錄賬號(hào)等所進(jìn)行的滲透測(cè)試�,此類(lèi)滲透測(cè)試適用于大部分功能對(duì)內(nèi)部員工開(kāi)放的應(yīng)用系統(tǒng)。
滲透測(cè)試標(biāo)準(zhǔn):1)OWASP�,是web應(yīng)用安全領(lǐng)域的權(quán)威參考;2)CVE����,CVE類(lèi)似于一個(gè)字典表�,為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來(lái)的弱點(diǎn)提供一個(gè)公共的名稱�。信息安全專業(yè)人員可以根據(jù)CVE名稱檢索到全部與之相關(guān)的漏洞利用信息和解決方案,為滲透測(cè)試工作提供指導(dǎo)和依據(jù)�。
滲透測(cè)試主要分為:主機(jī)、數(shù)據(jù)庫(kù)系統(tǒng)�、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備四種����;
方法流程主要為:
信息收集——端口掃描——溢出測(cè)試——口令猜測(cè)——應(yīng)用測(cè)試
贊同0
評(píng)論0
加載中...
