滲透測試是對使用者資訊保安措施積極評估的過程
滲透測試是通過模擬惡意黑客的攻擊方法,來估計計算機網路系統安全的一種安全測試與評估方法。通過實施滲透測試,可以發現乙個主機中潛在卻未被披露的安全性問題。然後,使用者可以根據測試結果對系統中的不足和安全弱點進行加固及改善,從而使使用者的系統變得更加安全,減少其風險。接下來介紹三種測試方法:
黑盒測試
黑盒測試(black-box-testing)也稱為外部測試(external testing)。採用這種方式時,滲透測試者將從乙個遠端網路位置來評估目標網路基礎設施,並沒有任何目標網路內部拓撲等相關資訊。完全模擬真實網路環境中的外部攻擊者,採用流行的攻擊技術與工具,有組織、有步驟地對目標組織進行逐步滲透和入侵,揭示目標網路中一些已知或未知的安全漏洞,並評估這些漏洞能否被利用,以獲取控制權或者操作業務造成資產損失等。
白盒測試
白盒測試(white-box testing)也稱為內部測試(internal testing)。進行白盒測試的滲透測試者可以了解到關於目標環境的所有內部和底層資訊。這可以讓滲透測試人員以最小的代價發現和驗證系統中最嚴重的漏洞。白盒測試的實施流程與黑盒測試類似,不同之處在於無須進行目標定位和情報收集。滲透測試人員可以通過正常渠道從被測試機構取得各種資料,如網路拓撲、員工資料甚至**程式的**片段等,也可以和單位其他員工進行面對面溝通。
灰盒測試
灰盒測試(gery-box testing)是白盒測試和黑盒測試基本型別的組合,它可以提供對目標系統更加深入和全面的安全審查。組合之後的好處就是能夠同時發揮這兩種滲透測試方法的優勢。在採用灰盒測試方法的外部滲透攻擊場景中,滲透測試者也類似地需要從外部逐步滲透進目標網路,但他所擁有的目標網路底層拓撲與架構將有助於更好地選擇攻擊途徑與方法,從而達到更好的滲透測試效果。
當使用者對滲透測試的概念了解清楚後,就可以對乙個目標實施滲透了。在滲透之前,介紹一下工作流程(5個階段):
前期互動——》資訊收集——》漏洞掃瞄——》漏洞利用——》編寫報告
這裡介紹每個階段的作用:
滲透測試之路(三) 虛擬機器概述
一 虛擬機器 1.1 虛擬機器的概述 1 傳統執行模式 特點 一台計算機同時只能執行乙個作業系統 2 虛擬機器 寄居架構 特點 虛擬機器安裝在真實機的作業系統上,如果真實機的作業系統癱瘓了,安裝在真實機上的虛擬機器將無法正常執行,不適合生產環境 一次性收費 原生架構 特點 直接安裝在計算機硬體上,虛...
滲透測試學習筆記 初識滲透測試
黑客活動 hacking 道德黑客 ethical hacking 白帽黑客 white hat hacking poc proof of concept,概念證明。pt penetration testing或者pen testing,滲透測試。apt advanced package tool,...
滲透測試 SSH
安全shell ssh 服務提供了對unix和windows系統的加密訪問,通過ssh可以進行命令列shell訪問 檔案訪問與安全ftp 以及簡單的vpn服務。由於使用明文的服務 如telnet 存在的弱點經常會被攻擊者利用來突破網路,所以ssh應運而生,主要用於實現對伺服器的加密訪問,以達到安全地...