問答專欄Q & A COLUMN
滲透測試(Penetration Test)是一種通過模擬黑客可能使用的攻擊方式和漏洞挖掘行為,對目標信息系統的安全進行深入的評估的一種信息安全技術。滲透測試的目的是通過直觀的讓信息系統管理人員了解自身信息系統所面臨的問題。通過滲透測試,可以發現目標系統中的安全漏洞,幫助信息系統管理人員更好的保護核心業務系統。同時為安全加固提供依據,幫助業務系統安全,穩定運行。
是一種對客戶的信息系統,通過專業的信息安全工具,進行掃描,而后根據分析結果,由資深安全技術工程師模擬黑客工作方式對發現的漏洞進行驗證性滲透測試的服務。目的在于發現目標系統中的安全漏洞,在安全事件發生前發現安全漏洞,防范于未然,最大程度減少系統遭受黑客攻擊的可能。
它類似于軍隊里的實戰演習或沙盤推演的概念,通過實戰和推演,讓用戶清晰了解目前網絡和業務系統的脆弱性、可能造成的影響,以便采取必要的防范措施。
滲透測試包括黑盒測試和灰盒測試兩種:
黑盒測試:
黑盒滲透測試是指滲透測試工程師除客戶提供的測試目標外對系統一無所知的條件下進行的滲透測試,此類滲透測試適用于大部分功能對外部開放的應用系統。
灰盒測試:
灰盒滲透測試是指測試者可以通過正常渠道向被測單位取得各種資料,包括網絡拓撲、員工資料以及信息系統登錄賬號等所進行的滲透測試,此類滲透測試適用于大部分功能對內部員工開放的應用系統。
滲透測試標準:1)OWASP,是web應用安全領域的權威參考;2)CVE,CVE類似于一個字典表,為廣泛認同的信息安全漏洞或者已經暴露出來的弱點提供一個公共的名稱。信息安全專業人員可以根據CVE名稱檢索到全部與之相關的漏洞利用信息和解決方案,為滲透測試工作提供指導和依據。
滲透測試主要分為:主機、數據庫系統、應用系統、網絡設備四種;
方法流程主要為:
信息收集——端口掃描——溢出測試——口令猜測——應用測試
評論0
加載中...
滲透測試是通過模擬來自惡意的黑客或者駭客攻擊,以評估計算機系統或者網絡環境安全性的活動。從滲透測試的定義我們能夠清楚的了解到滲透測試它是一項模擬的活動,主要的目的是進行安全性的評估,而不是摧毀或者破壞目標系統。簡單來說,其實滲透測試就是模擬黑客攻擊,測試系統安全性的活動。
評論0
加載中...
滲透測試 (penetration test)并沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
換句話來說,滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,達成一定的控制目的,證明目標系統確實存在相應弱點或漏洞。通常是用于評估或檢測系統的安全狀態,與攻擊者的真正網絡攻擊還是明顯不同的。按照ATT@CK框架,從初始突破,命令執行,內部偵察,橫向移動,憑證獲取,持續潛伏,指揮控制,基本一致。后續的數據獲取,后果影響,出于不同目的,明顯不同了。
滲透測試還具有的兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
作為網絡安全防范的一種新技術,對于網絡安全組織具有實際應用價值。
評論0
加載中...
網絡安全種的滲透測試就是以攻擊者思維,模擬攻擊者對業務系統進行全面深入的安全測試,幫助企業挖掘出正常業務流程中的安全缺陷和漏洞。助力企業先于攻擊者發現安全風險,防患于未然。
評論0
加載中...4
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答10
回答10
回答
