- 道德駭客教程
- 道德駭客 - 首頁
- 道德駭客 - 概述
- 道德駭客 - 駭客型別
- 道德駭客 - 著名的駭客
- 道德駭客 - 術語
- 道德駭客 - 工具
- 道德駭客 - 技能
- 道德駭客 - 流程
- 道德駭客 - 偵察
- 道德駭客 - 踩點
- 道德駭客 - 指紋識別
- 道德駭客 - 嗅探
- 道德駭客 - 嗅探工具
- 道德駭客 - ARP 欺騙
- 道德駭客 - DNS 欺騙
- 道德駭客 - 利用
- 道德駭客 - 列舉
- 道德駭客 - Metasploit
- 道德駭客 - 木馬攻擊
- 道德駭客 - TCP/IP 劫持
- 道德駭客 - 郵箱劫持
- 道德駭客 - 密碼破解
- 道德駭客 - 無線網路攻擊
- 道德駭客 - 社會工程學
- 道德駭客 - DDoS 攻擊
- 道德駭客 - 跨站指令碼攻擊
- 道德駭客 - SQL 注入
- 道德駭客 - 滲透測試
- 道德駭客有用資源
- 道德駭客 - 快速指南
- 道德駭客 - 有用資源
- 道德駭客 - 討論
道德駭客 - 滲透測試
滲透測試是許多公司為最大限度地減少安全漏洞而採用的一種方法。這是一種可控的方式,公司可以聘請專業人士嘗試入侵其系統,並指出應修復的漏洞。
在進行滲透測試之前,必須達成一項協議,明確說明以下引數:
滲透測試的時間;
攻擊的 IP 源;
系統的滲透測試範圍。
滲透測試由專業的道德駭客進行,他們主要使用商業的、開源的工具、自動化工具和手動檢查。沒有限制;這裡最重要的目標是儘可能多地發現安全漏洞。
滲透測試的型別
我們有五種型別的滲透測試:
黑盒測試 - 在這裡,道德駭客沒有任何關於他試圖滲透的組織的基礎設施或網路的資訊。在黑盒滲透測試中,駭客試圖透過自己的方法找到資訊。
灰盒測試 - 這是一種滲透測試,道德駭客對基礎設施(如其域名伺服器)有一定的瞭解。
白盒測試 - 在白盒滲透測試中,道德駭客會獲得滲透所需組織的基礎設施和網路的所有必要資訊。
外部滲透測試 - 此類滲透測試主要關注網路基礎設施或伺服器及其在基礎設施下執行的軟體。在這種情況下,道德駭客嘗試透過網際網路使用公共網路進行攻擊。駭客試圖透過攻擊其網頁、網路伺服器、公共 DNS 伺服器等來入侵公司基礎設施。
內部滲透測試 - 在此類滲透測試中,道德駭客位於公司的網路內部,並從那裡進行測試。
滲透測試也可能導致系統故障、系統崩潰或資料丟失等問題。因此,公司在進行滲透測試之前應權衡風險。風險計算如下,它是一種管理風險。
風險 = 威脅 × 漏洞
示例
您有一個正在生產中的線上電子商務網站。您希望在上線之前進行滲透測試。在這裡,您必須首先權衡利弊。如果您進行滲透測試,可能會導致服務中斷。相反,如果您不想進行滲透測試,那麼您可能會冒著未修補的漏洞始終存在威脅的風險。
在進行滲透測試之前,建議您書面記錄專案的範圍。您應該清楚要測試的內容。例如:
您的公司擁有 VPN 或任何其他遠端訪問技術,您想測試這一點。
您的應用程式具有帶有資料庫的網路伺服器,因此您可能希望對其進行 SQL 注入攻擊測試,這是網路伺服器上最重要的測試之一。此外,您可以檢查您的網路伺服器是否對 DoS 攻擊免疫。
快速提示
在進行滲透測試之前,您應該記住以下幾點:
首先了解您的需求並評估所有風險。
聘請獲得認證的人員進行滲透測試,因為他們接受過培訓,可以應用所有可能的方法和技術來發現網路或 Web 應用程式中可能的漏洞。
在進行滲透測試之前始終簽署協議。