X0_0X
2
等保中級測評師
CICSA
X0_0X2
等保中級測評師
CICSA
滲透測試就是一種通過模擬使用黑客的技術和方法,挖掘目標系統的安全漏洞,取得系統的控制權,訪問系統的機密數據,并發現可能影響業務持續運作安全隱患的一種安全測試和評估方式。
滲透測試和黑客入侵最大區別在于滲透測試是經過客戶授權,采用可控制、非破壞性質的方法和手段發現目標和網絡設備中存在弱點,幫助管理者知道自己網絡所面臨的問題,同時提供安全加固建議, 幫助客戶提升系統的安全性。滲透測試包括黑盒測試/白盒測試和灰盒測試。
安全性漏洞挖掘
找出應用中所存在的安全漏洞。滲透測試是對傳統安全弱點的串聯并形成路徑,在通過路徑式利用最終可以達到模擬入侵的一個效果。發掘應用中影響業務正常運行、導致敏感信息泄露、造成現金和信譽損失的等的漏洞。
漏洞修復方案
滲透測試目的是防御,故發現漏洞后,修復是關鍵。 安全專家針對漏洞產生的原因進行分析,提出修復建議,以防御惡意攻擊者的攻擊。
回歸測試
滲透測試漏洞修復后,應當對修復方案以及結果做一個有效性的評估,最終分析修復方案是不是有損打擊以及誤打擊的風險,驗證漏洞修復結果。可以通過匯總漏洞修復方案對其進行合理化的評估,標注漏洞修復最終結果,在更新好之后發送測試報告。
在下炳尚
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
在下炳尚2
風險管理(專業級)RM/PL
高級信息系統項目管理師
滲透測試就是一種通過模擬使用黑客的技術和方法,挖掘目標系統的安全漏洞,取得系統的控制權,訪問系統的機密數據,并發現可能影響業務持續運作安全隱患的一種安全測試和評估方式。滲透測試和黑客入侵最大區別在于滲透測試是經過客戶授權,采用可控制、非破壞性質的方法和手段發現目標和網絡設備中存在弱點,幫助管理者知道自己網絡所面臨的問題,同時提供安全加固建議, 幫助客戶提升系統的安全性。
滲透測試包括以下這些階段:
情報的搜集階段:情報是指目標網絡,服務器,應用程序等的所有信息,如果是黑盒測試,信息搜集階段是最重要的一個階段,一般通過被動掃描或主動掃描兩種技術。
威脅建模階段:如果把滲透測試看做一場對抗賽,那么威脅建模就相當于指定策略。
漏洞分析階段:漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統,開放端口及服務程序等信息,查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行,那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞,還要考慮人的因素長時間研究目標人員的心理,以便對其實施欺騙,從而達到滲透目標。
漏洞利用階段:找到目標網絡的漏洞后,就可以對其進行測試了。在漏洞利用階段我們關注的重點是,如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務,那么我們就可以在此階段準確,順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。
后滲透攻擊階段:后滲透攻擊階段和漏洞利用階段連接十分密切,作為滲透測試人員,必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。
報告階段:報告階段是滲透測試最后一個階段。要簡單,直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題,以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅,使用滲透數據產生的表格和圖標,以及對目標網絡存在問題的修復方案,當前安全機制的改進建議等。
推薦文章
