安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
滲透測試有以下七類技術:
黑盒測試:黑盒測試(Black-box Testing)也稱為外部測試(External Testing)。采用這種方式時,滲透測試團隊將從一個遠程網絡位置來評估目標網絡基礎設施,并沒有任何目標網絡內部拓撲等相關信息,他們完全模擬真實網絡環境中的外部攻擊者,采用流行的攻擊技術與工具,有組織有步驟地對目標組織進行逐步的滲透與入侵,揭示目標網絡中一些已知或未知的安全漏洞,并評估這些漏洞能否被利用獲取控制權或造成業務資產的損失。
白盒測試:白盒測試(White-box Testing)也稱為內部測試(Internal Testing)。進行白盒測試的團隊將可以了解到關于目標環境的所有內部與底層知識,因此這可以讓滲透測試者以最小的代價發現和驗證系統中最嚴重的安全漏洞。如果實施到位,白盒測試能夠比黑盒測試消除更多的目標基礎設施環境中的安全漏洞與弱點,從而給客戶組織帶來更大的價值。
灰盒測試:以上兩種滲透測試基本類型的組合可以提供對目標系統更加深入和全面的安全審查,這就是灰盒測試(Grey-box Testing),組合之后的好處就是能夠同時發揮兩種基本類型滲透測試方法的各自優勢。灰盒測試需要滲透測試者能夠根據對目標系統所掌握的有限知識與信息,來選擇評估整體安全性的最佳途徑。在采用灰盒測試方法的外部滲透場景中,滲透測試者也類似地需要從外部逐步滲透進入目標網絡,但他所擁有的目標網絡底層拓撲與架構將有助于更好地決策攻擊途徑與方法,從而達到更好的滲透測試效果。
主機操作系統滲透測試:對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統本身進行滲透測試。
數據庫系統滲透測試:對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數據庫應用系統進行滲透測試。
應用系統滲透測試:對滲透目標提供的各種應用,如ASP、CGI、JSP、PHP等組成的WWW應用進行滲透測試。
網絡設備滲透測試:對各種防火墻、入侵檢測系統、網絡設備進行滲透測試。
推薦文章
