滲透測試(Penetration Test)是一種通過模擬黑客可能使用的攻擊方式和漏洞挖掘行為,對目標信息系統(tǒng)的安全進行深入的評估的一種信息安全技術(shù)��。滲透測試的目的是通過直觀的讓信息系統(tǒng)管理人員了解自身信息系統(tǒng)所面臨的問題��。通過滲透測試�����,可以發(fā)現(xiàn)目標系統(tǒng)中的安全漏洞,幫助信息系統(tǒng)管理人員更好的保護核心業(yè)務(wù)系統(tǒng)����。同時為安全加固提供依據(jù)��,幫助業(yè)務(wù)系統(tǒng)安全,穩(wěn)定運行��。
是一種對客戶的信息系統(tǒng)��,通過專業(yè)的信息安全工具���,進行掃描��,而后根據(jù)分析結(jié)果,由資深安全技術(shù)工程師模擬黑客工作方式對發(fā)現(xiàn)的漏洞進行驗證性滲透測試的服務(wù)。目的在于發(fā)現(xiàn)目標系統(tǒng)中的安全漏洞�����,在安全事件發(fā)生前發(fā)現(xiàn)安全漏洞�����,防范于未然,最大程度減少系統(tǒng)遭受黑客攻擊的可能。
它類似于軍隊里的實戰(zhàn)演習(xí)或沙盤推演的概念���,通過實戰(zhàn)和推演,讓用戶清晰了解目前網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的脆弱性、可能造成的影響�����,以便采取必要的防范措施���。
滲透測試包括黑盒測試和灰盒測試兩種:
黑盒測試:
黑盒滲透測試是指滲透測試工程師除客戶提供的測試目標外對系統(tǒng)一無所知的條件下進行的滲透測試�����,此類滲透測試適用于大部分功能對外部開放的應(yīng)用系統(tǒng)�。
灰盒測試:
灰盒滲透測試是指測試者可以通過正常渠道向被測單位取得各種資料�����,包括網(wǎng)絡(luò)拓撲���、員工資料以及信息系統(tǒng)登錄賬號等所進行的滲透測試����,此類滲透測試適用于大部分功能對內(nèi)部員工開放的應(yīng)用系統(tǒng)����。
滲透測試標準:1)OWASP���,是web應(yīng)用安全領(lǐng)域的權(quán)威參考��;2)CVE�,CVE類似于一個字典表�,為廣泛認同的信息安全漏洞或者已經(jīng)暴露出來的弱點提供一個公共的名稱。信息安全專業(yè)人員可以根據(jù)CVE名稱檢索到全部與之相關(guān)的漏洞利用信息和解決方案��,為滲透測試工作提供指導(dǎo)和依據(jù)�。
滲透測試主要分為:主機、數(shù)據(jù)庫系統(tǒng)�、應(yīng)用系統(tǒng)����、網(wǎng)絡(luò)設(shè)備四種��;
方法流程主要為:
信息收集——端口掃描——溢出測試——口令猜測——應(yīng)用測試
贊同0
評論0
加載中...
