什么是渗透测试?
用各种不同的破坏性技术评估系统或网络的方法来确定程序中的安全漏洞的过程。这种测试的目的就是确保重要数据不被外来者的攻击,诸如黑客可以非法进入到系统中。一旦存在漏洞,为了能够获得一些有用信息,那么这些漏洞就会被利用。
漏洞的来源:
-- 计和开发错误
-- 系统配置简单
-- 人为错误
为什么要做渗透测试?
■ 必须确保财务数据在不同系统之间转换
■ 许多客户要求将渗透测试作为软件发布周期的一部分
■ 确保用户数据安全
■ 发现应用项目中的安全漏洞
发现内部网络和机器中存在的安全问题对任何一家公司来说都是非常重要的。使用这些测试技术的公司能够很好地预防黑客攻击。用户隐私和数据安全是现如今最受关注的。试想黑客试图获得诸如Facebook这类网站的用户资料,将会怎样。因此在与第三方客户合作时,大企业都会寻找有PCI认证的公司。
哪些东西需要测试?
■ 软件
■ 硬件
■ 网络
■ 流程
渗透测试类型:
1)社会工程:人为错误是安全漏洞的主要来源。安全标准和策略需要所有的员工遵守以避免社会工程渗透攻击。例如,不允许在邮件或电话交流中提到任何敏感信息。安全审计能够识别和改正流程错误。
2)应用程序安全测试:使用软件方法能够验证是否存在安全漏洞。
3)物理渗透测试:强大的物理安全方法用来保护敏感数据。这是在军事和政府一般使用的有效方法。所有的物理网络设备和可进入点都要测试是否有任何安全缺陷的可能。
……………………
查看全文请点击下载:http://www.51testing.com/html/32/n-827732.html
我们用如下方法对流程进行分类:
1)数据收集:不同的方法包括google搜索用于获取目标系统的数据。一个是用web页面资源代码分析技术来获得更多关于系统,软件和插件版本的信息。市场上也有许多免费的工具和服务可用,能够给你一些目标系统中所用到的信息如数据库或表名,DB版本,软件版本,用到的硬件和不同的第三方插件等等。
2)漏洞评估:根据第一步收集到的数据,能够找到目标系统中的安全弱点。这对渗透测试员使用系统中已确认进入点进行攻击非常有帮助。
3)实际的操作:这是非常重要的一步。它要求使用专业的技能和技术来对目标系统进行攻击。有经验的渗透测试人员能够使用它们自身的技能对系统进行攻击。
4)结果分析和报告书写:渗透测试详细报告的完成为采取正确措施做铺垫。所有的已确定的漏洞和推荐的正确解决方法列在这份报告中。你可以根据你公司需要定制报告的格式(如HTML,XML,MSWord,或者PDF)。