什么是渗透测试
渗透测试并没有一个标准的定义,国外的一些安全组织达成共识的通用说法是,渗透测试是通过模拟恶意黑客的攻击方法之一。
由此来评估计算机网络系统安全的一种评估方法。
渗透测试的过程非常简单的运行一些扫描器和自动化工具,该过程包括对系统的任何弱点,技术缺陷或漏洞的主动分析。
这个分析是从一个攻击者存在的位置来进行判断的,并且从这个位置有条件的主动利用安全漏洞。
渗透测试的流程
渗透测试与其他评估方法不同
同城的评估方法是根据已知信息资源或其他被评估对象,去发现所相关的安全问题,渗透测试页可以根据已知可利用的安全漏洞,去发现是否存在相应的信息资源,相较而言,使用通常评估方法得到的评估结果更具有全面性,而渗透测试的更注重安全漏洞的严重性。
渗透测试通常分为有7个阶段
如下所示
1. 前期的交互阶段,该阶段通常是用来确定渗透测试的范围和目标
2. 信息搜集阶段,该阶段需要采用各种方法来收集目标主机的信息
包括使用社交媒体等网络信息范围内的已知事物,Google Hacking技术,目标系统踩点等。
3. 威胁的建模阶段,该阶段主要是使用信息搜集阶段所获得的信息,来标识目标系统有存在可能存在的安全漏洞与弱点的方法之一
4. 漏洞分析阶段,该阶段将综合从前面几个环节中获取到的信息,从中分析理解那些攻击和用途径是可行的,特别是需要重点分析端口和漏扫描结果,截获到服务的重要信息,以及在信息收集环节中得到其他关键性的位置信息。
5. 渗透攻击阶段,该阶段可能是存在渗透测试过程中最吸引人的地方,然后在这种情况下,往往没有用户所预想的那么一帆风顺,而是曲径通幽,在攻击目标系统主机时,一定要清晰的了解在目标系统存在这个漏洞,否则,根本无法启动攻击成功的步骤。
6. 后渗透攻击阶段,该阶段在任何一次渗透过程中都是一个关键环节,该阶段将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织罪具有价值和尝试进行安全保护的信息和资产。
7. 报告阶段,报告是渗透测试过程中最重要的因素,使用该报告文档可以交流渗透测试过程中国做了什么,如何做的以及最为重要的安全漏洞和弱点。
渗透测试并没有一个标准的定义,国外的一些安全组织达成共识的通用说法是,渗透测试是通过模拟恶意黑客的攻击方法之一。
由此来评估计算机网络系统安全的一种评估方法。
渗透测试的过程非常简单的运行一些扫描器和自动化工具,该过程包括对系统的任何弱点,技术缺陷或漏洞的主动分析。
这个分析是从一个攻击者存在的位置来进行判断的,并且从这个位置有条件的主动利用安全漏洞。
渗透测试的流程
渗透测试与其他评估方法不同
同城的评估方法是根据已知信息资源或其他被评估对象,去发现所相关的安全问题,渗透测试页可以根据已知可利用的安全漏洞,去发现是否存在相应的信息资源,相较而言,使用通常评估方法得到的评估结果更具有全面性,而渗透测试的更注重安全漏洞的严重性。
渗透测试通常分为有7个阶段
如下所示
1. 前期的交互阶段,该阶段通常是用来确定渗透测试的范围和目标
2. 信息搜集阶段,该阶段需要采用各种方法来收集目标主机的信息
包括使用社交媒体等网络信息范围内的已知事物,Google Hacking技术,目标系统踩点等。
3. 威胁的建模阶段,该阶段主要是使用信息搜集阶段所获得的信息,来标识目标系统有存在可能存在的安全漏洞与弱点的方法之一
4. 漏洞分析阶段,该阶段将综合从前面几个环节中获取到的信息,从中分析理解那些攻击和用途径是可行的,特别是需要重点分析端口和漏扫描结果,截获到服务的重要信息,以及在信息收集环节中得到其他关键性的位置信息。
5. 渗透攻击阶段,该阶段可能是存在渗透测试过程中最吸引人的地方,然后在这种情况下,往往没有用户所预想的那么一帆风顺,而是曲径通幽,在攻击目标系统主机时,一定要清晰的了解在目标系统存在这个漏洞,否则,根本无法启动攻击成功的步骤。
6. 后渗透攻击阶段,该阶段在任何一次渗透过程中都是一个关键环节,该阶段将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织罪具有价值和尝试进行安全保护的信息和资产。
7. 报告阶段,报告是渗透测试过程中最重要的因素,使用该报告文档可以交流渗透测试过程中国做了什么,如何做的以及最为重要的安全漏洞和弱点。
