渗透测试(Penetration Test)是一种通过模拟黑客可能使用的攻击方式和漏洞挖掘行为,对目标信息系统的安全进行深入的评估的一种信息安全技术。渗透测试的目的是通过直观的让信息系统管理人员了解自身信息系统所面临的问题。通过渗透测试,可以发现目标系统中的安全漏洞,帮助信息系统管理人员更好的保护核心业务系统。同时为安全加固提供依据,帮助业务系统安全,稳定运行。
是一种对客户的信息系统,通过专业的信息安全工具,进行扫描,而后根据分析结果,由资深安全技术工程师模拟黑客工作方式对发现的漏洞进行验证性渗透测试的服务。目的在于发现目标系统中的安全漏洞,在安全事件发生前发现安全漏洞,防范于未然,最大程度减少系统遭受黑客攻击的可能。
它类似于军队里的实战演习或沙盘推演的概念,通过实战和推演,让用户清晰了解目前网络和业务系统的脆弱性、可能造成的影响,以便采取必要的防范措施。
渗透测试包括黑盒测试和灰盒测试两种:
黑盒测试:
黑盒渗透测试是指渗透测试工程师除客户提供的测试目标外对系统一无所知的条件下进行的渗透测试,此类渗透测试适用于大部分功能对外部开放的应用系统。
灰盒测试:
灰盒渗透测试是指测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料以及信息系统登录账号等所进行的渗透测试,此类渗透测试适用于大部分功能对内部员工开放的应用系统。
渗透测试标准:1)OWASP,是web应用安全领域的权威参考;2)CVE,CVE类似于一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点提供一个公共的名称。信息安全专业人员可以根据CVE名称检索到全部与之相关的漏洞利用信息和解决方案,为渗透测试工作提供指导和依据。
渗透测试主要分为:主机、数据库系统、应用系统、网络设备四种;
方法流程主要为:
信息收集——端口扫描——溢出测试——口令猜测——应用测试
评论0
加载中...
渗透测试是通过模拟来自恶意的黑客或者骇客攻击,以评估计算机系统或者网络环境安全性的活动。从渗透测试的定义我们能够清楚的了解到渗透测试它是一项模拟的活动,主要的目的是进行安全性的评估,而不是摧毁或者破坏目标系统。简单来说,其实渗透测试就是模拟黑客攻击,测试系统安全性的活动。
评论0
加载中...
渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,达成一定的控制目的,证明目标系统确实存在相应弱点或漏洞。通常是用于评估或检测系统的安全状态,与攻击者的真正网络攻击还是明显不同的。按照ATT@CK框架,从初始突破,命令执行,内部侦察,横向移动,凭证获取,持续潜伏,指挥控制,基本一致。后续的数据获取,后果影响,出于不同目的,明显不同了。
渗透测试还具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
作为网络安全防范的一种新技术,对于网络安全组织具有实际应用价值。
评论0
加载中...
网络安全种的渗透测试就是以攻击者思维,模拟攻击者对业务系统进行全面深入的安全测试,帮助企业挖掘出正常业务流程中的安全缺陷和漏洞。助力企业先于攻击者发现安全风险,防患于未然。
评论0
加载中...4
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答10
回答10
回答
