国产精品福利在线观看,河西走廊纪录片全集,污网在线看,开放关系,一区二区三区入口,91精品国产综合久久久久久粉嫩

您好,歡迎訪問中保天和!

今天:2025年08月31日

咨詢熱線:010 - 84264757

首頁
專項服務
解決方案
新聞中心
政策規范
專家視角

我司通過各種資源,力邀行業內的權威專家對時代熱點和相關政策法規進行解讀,站在信息行業的制高點,描繪行業的宏偉藍圖,促進行業的健康發展。 以專家的視角,用事實說話,力求前瞻性和權威性,為企業和個人的發展提供參考依據

關于我們

首頁 >專項服務 >信息安全風險評估

0

滲透測試介紹

滲透測試的定義

      滲透測試(Penetration Testing)是受信任的第三方通過模擬黑客可能使用到的攻擊手段和漏洞挖掘技術對目標網絡或目標系統的安全性作出風險評估和脆弱性分析并給出安全加固建議的一個測試過程。


滲透測試的意義

     滲透測試是站在第三者的角度來思考企業系統的安全性的,通過滲透測試可以發覺企業潛在卻未紕漏的安全性問題。企業可以根據測試的結果對內部系統中的不足以及安全脆弱點進行加固以及改善,從而使企業系統變得更加安全,減低企業的風險。


滲透測試的分類
     滲透測試按照滲透的方法與視角可以分為以下三類:
黑盒測試
     黑盒測試(Black-box Testing)也稱為外部測試(External Testing)。采用這種方式時,滲透測試團隊將從一個遠程網絡位置來評估目標網絡基礎設施,并沒有任何目標網絡內部拓撲等相關信息,他們完全模擬真實網絡環境中的外部攻擊者,采用流行的攻擊技術與工具,有組織有步驟地對目標組織進行逐步的滲透和入侵,揭示目標網絡中一些已知或未知的安全漏洞,并評估這些漏洞能否被利用獲取控制權或者操作業務資產損失等。
     黑盒測試的缺點是測試較為費時費力,同時需要滲透測試者具備較高的技術能力。優點在于這種類型的測試更有利于挖掘出系統潛在的漏洞以及脆弱環節、薄弱點等
白盒測試
     白盒測試(White-box Testing)也稱為內部測試(Internal Testing)。進行白盒測試的團隊將可以了解到關于目標環境的所有內部和底層知識,因此這可以讓滲透測試人員以最小的代價發現和驗證系統中最嚴重的漏洞。白盒測試的實施流程與黑盒測試類似,不同之處在于無須進行目標定位和情報收集,滲透測試人員可以通過正常渠道向被測試單位取得各種資料,包括網絡拓撲、員工資料甚至網站程序的代碼片段,也可以和單位其他員工進行面對面溝通。
     白盒測試的缺點是無法有效的測試客戶組織的應急響應程序,也無法判斷出他們的安全防護計劃對檢測特定攻擊的效率。優點是在測試中發現和解決安全漏洞所花費的時間和代價要比黑盒測試少很多。
灰盒測試

     灰盒測試(Grey-box Testing)是白盒測試和黑盒測試基本類型的組合,它可以提供對目標系統更加深入和全面的安全審查。組合之后的好處就是能夠同時發揮兩種滲透測試方法的各自優勢。在采用灰盒測試方法的外部滲透攻擊場景中,滲透測試者也類似地需要從外部逐步滲透進目標網絡,但他所擁有的目標網絡底層拓撲與架構將有助于更好地決策攻擊途徑與方法,從而達到更好的滲透測試效果。


滲透測試的流程
     滲透測試執行標準(Penetration Testing Execution Standard,PTES)是由安全業界領軍企業技術專家共同發起的,期望為企業組織與安全服務提供商設計并制定用來實施滲透測試的通用描述準則。
這個標準可以在任意環境中進行富有成果的滲透測試,它由滲透測試的7個階段組成:

前期交互

     在進行滲透測試之前,滲透測試團隊需要與客戶就滲透測試目標、滲透測試范圍、滲透測試方式(白盒、黑盒、灰盒以及是否涉及社會工程學、DDOS等)、服務合同等細節進行商議,達成一致協議。
該階段是之后進行滲透測試的基礎與關鍵所在。
信息收集
      在確定了滲透測試目標以及范圍之后,接下來就需要進入信息收集階段。在這個階段,滲透測試人員需要使用各種公開的資源盡可能的獲取與測試目標相關的信息??梢越柚ヂ摼W進行信息收集,比如說:官方網站、論壇、博客等渠道。同時也可以借助各大搜索引擎來獲取相關信息,比如說:Google、Baidu等。同時也可以借助Kali Linux中的一些工具來對DNS信息、注冊人信息、服務信息、WAF信息等進行收集。在這個階段收集到的信息越充分對之后的滲透測試越有利,滲透測試的成功率也大大提高。
威脅建模
     在完成了對目標系統的信息收集工作之后,接下來就是威脅建模階段了。在這個階段滲透測試團隊需要聚集在一起就獲取到的信息進行分析并且做出攻擊的規劃。這是滲透測試過程中非常重要但是又很容易被忽略的一個關鍵點。在這個過程中必須要理清思路,確定出最有效、最可行的攻擊方案。
漏洞分析
     在確定了最可行的攻擊方案之后,接下來就需要考慮如何獲取目標系統的訪問控制權限。這個階段也被稱為漏洞分析階段。
在這一個階段,滲透測試人員需要綜合分析之前信息收集階段所獲取到的信息,特別是系統類型、系統開啟的服務、漏洞掃描的結果等信息,通過可以獲取的滲透代碼資源找出可以實施滲透攻擊的攻擊點,并在測試過程中進行驗證。在這一階段滲透測試人員不僅需要驗證系統是否存在已知的漏洞,同時也需要去挖掘系統一些潛在的漏洞,并且開發出相應的漏洞利用代碼。
滲透攻擊
     在仔細檢查和發現目標系統中的漏洞之后,就可以使用已有的漏洞利用程序對目標系統進行滲透了。但是在一般情況下滲透測試人員都需要考慮到目標系統的環境對漏洞利用程序(exploit)進行修改和額外的研究,否則它就無法正常工作。同時在該階段也要考慮到對目標系統的安全機制的逃逸,從而避免讓目標系統發覺。
后滲透攻擊

     深度利用階段是整個滲透測試過程中最能夠體現滲透測試團隊技術能力的環節。前面的環節可以說都是在按部就班的完成非常普遍的目標,而在這個環節中,需要滲透測試團隊根據目標組織的業務經營模式、資產保護模式和安全防御規劃的不同特點,資助設計出攻擊目標,識別關鍵基礎設施,并尋找客戶組織組織最具價值和嘗試安全保護的信息和資產,最終達到能夠對客戶組織造成最重要業務影響的攻擊途徑。


書面報告
     整個滲透測試的過程最終需要以書面文檔的形式向客戶提交,這份報告也就是我們常說的滲透測試報告。這份報告涵蓋了之前所有階段中滲透測試團隊所獲取的到各種有價值信息以及探測和挖掘出來的相關安全漏洞、成功攻擊的過程,以及對業務造成的影響后果分析。同時在這個階段也要對系統中存在的脆弱環節、存在的安全問題給出修復建議。

訪問統計: 23528 人次