济宁市建设银行网站,有关小城镇建设的网站,微商城和小程序区别,怎么自己做影视网站目录
5.3 渗透测试
5.3.1 什么是渗透测试
5.3.2 渗透测试的流程 5.3 渗透测试
5.3.1 什么是渗透测试
渗透测试是利用模拟黑客攻击的方式#xff0c;评估计算机网络系统安全性能的一种方法。这个过程是站在攻击者角度对系统的任何弱点、技术缺陷或漏洞进行主动分析#x…目录
5.3 渗透测试
5.3.1 什么是渗透测试
5.3.2 渗透测试的流程 5.3 渗透测试
5.3.1 什么是渗透测试
渗透测试是利用模拟黑客攻击的方式评估计算机网络系统安全性能的一种方法。这个过程是站在攻击者角度对系统的任何弱点、技术缺陷或漏洞进行主动分析并且有条件地主动利用安全漏洞。
根据实际应用普遍认为渗透测试分为黑盒测试、白盒测试2类其中黑盒测试中渗透者完全处于对系统一无所知的状态而白盒测试则恰恰相反渗透者在完全了解程序结构的情况下进行测试。
1渗透测试是一个渐进的并且逐步深入的过程。2渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
5.3.2 渗透测试的流程 1明确目标
当测试人员拿到需要做渗透测试的项目时首先确定测试需求如测试是针对业务逻辑漏洞还是针对人员管理权限漏洞等然后确定客户要求渗透测试的范围如IP段、域名、整站渗透或者部分模块渗透等最后确定渗透测试规则如能够渗透到什么程度是确定漏洞为止还是继续利用漏洞进行更进一步的测试是否允许破坏数据是否能够提升权限等。
2收集信息
在信息收集阶段要尽量收集关于项目软件的各种信息。例如对于一个Web应用程序要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。信息收集对于渗透测试来说非常重要只有掌握目标程序足够多的信息才能更好地进行漏洞检测。
① 主动收集通过直接访问、扫描网站等方式收集想要的信息这种方式可以收集的信息比较多但是访问者的操作行为会被目标主机记录。② 被动收集利用第三方服务对目标进行了解如上网搜索相关信息。这种方式获取的信息相对较少且不够直接但目标主机不会发现测试人员的行为。
3扫描漏洞
综合分析收集到的信息借助扫描工具对目标程序进行扫描查找存在的安全漏洞。
4验证漏洞
在扫描漏洞阶段测试人员会得到很多关于目标程序的安全漏洞但这些漏洞有误报需要测试人员结合实际情况搭建模拟测试环境对这些安全漏洞进行验证。被确认的安全漏洞才能被利用执行攻击。
5分析信息
经过验证的安全漏洞就可以被利用起来向目标程序发起攻击但是不同的安全漏洞攻击机制并不相同针对不同的安全漏洞需要进一步分析包括安全漏洞原理、可利用的工具、目标程序检测机制、攻击是否可以绕过防火墙等制订一个详细精密的攻击计划这样才能保证测试顺利执行。
6渗透攻击
渗透攻击就是对目标程序发起真正的攻击达到测试目的如获取用户账号密码、截取目标程序传输的数据、控制目标主机等。一般渗透测试是一次性测试攻击完成之后要执行清理工作删除系统日志、程序日志等擦除进入系统的痕迹。
7整理信息
渗透攻击完成之后整理攻击所获得的信息为后面编写测试报告提供依据。
8编写测试报告
测试完成之后要编写测试报告阐述项目安全测试目标、信息收集方式、漏洞扫描工具以及漏洞情况、攻击计划、实际攻击结果、测试过程中遇到的问题等。此外还要对目标程序存在的漏洞进行分析提供安全有效的解决办法。
