- 道德黑客教程
- 道德黑客 - 首页
- 道德黑客 - 概述
- 道德黑客 - 黑客类型
- 道德黑客 - 著名的黑客
- 道德黑客 - 术语
- 道德黑客 - 工具
- 道德黑客 - 技能
- 道德黑客 - 流程
- 道德黑客 - 侦察
- 道德黑客 - 踩点
- 道德黑客 - 指纹识别
- 道德黑客 - 嗅探
- 道德黑客 - 嗅探工具
- 道德黑客 - ARP 欺骗
- 道德黑客 - DNS 欺骗
- 道德黑客 - 利用
- 道德黑客 - 枚举
- 道德黑客 - Metasploit
- 道德黑客 - 木马攻击
- 道德黑客 - TCP/IP 劫持
- 道德黑客 - 邮箱劫持
- 道德黑客 - 密码破解
- 道德黑客 - 无线网络攻击
- 道德黑客 - 社会工程学
- 道德黑客 - DDoS 攻击
- 道德黑客 - 跨站脚本攻击
- 道德黑客 - SQL 注入
- 道德黑客 - 渗透测试
- 道德黑客有用资源
- 道德黑客 - 快速指南
- 道德黑客 - 有用资源
- 道德黑客 - 讨论
道德黑客 - 渗透测试
渗透测试是许多公司为最大限度地减少安全漏洞而采用的一种方法。这是一种可控的方式,公司可以聘请专业人士尝试入侵其系统,并指出应修复的漏洞。
在进行渗透测试之前,必须达成一项协议,明确说明以下参数:
渗透测试的时间;
攻击的 IP 源;
系统的渗透测试范围。
渗透测试由专业的道德黑客进行,他们主要使用商业的、开源的工具、自动化工具和手动检查。没有限制;这里最重要的目标是尽可能多地发现安全漏洞。
渗透测试的类型
我们有五种类型的渗透测试:
黑盒测试 - 在这里,道德黑客没有任何关于他试图渗透的组织的基础设施或网络的信息。在黑盒渗透测试中,黑客试图通过自己的方法找到信息。
灰盒测试 - 这是一种渗透测试,道德黑客对基础设施(如其域名服务器)有一定的了解。
白盒测试 - 在白盒渗透测试中,道德黑客会获得渗透所需组织的基础设施和网络的所有必要信息。
外部渗透测试 - 此类渗透测试主要关注网络基础设施或服务器及其在基础设施下运行的软件。在这种情况下,道德黑客尝试通过互联网使用公共网络进行攻击。黑客试图通过攻击其网页、网络服务器、公共 DNS 服务器等来入侵公司基础设施。
内部渗透测试 - 在此类渗透测试中,道德黑客位于公司的网络内部,并从那里进行测试。
渗透测试也可能导致系统故障、系统崩溃或数据丢失等问题。因此,公司在进行渗透测试之前应权衡风险。风险计算如下,它是一种管理风险。
风险 = 威胁 × 漏洞
示例
您有一个正在生产中的在线电子商务网站。您希望在上线之前进行渗透测试。在这里,您必须首先权衡利弊。如果您进行渗透测试,可能会导致服务中断。相反,如果您不想进行渗透测试,那么您可能会冒着未修补的漏洞始终存在威胁的风险。
在进行渗透测试之前,建议您书面记录项目的范围。您应该清楚要测试的内容。例如:
您的公司拥有 VPN 或任何其他远程访问技术,您想测试这一点。
您的应用程序具有带有数据库的网络服务器,因此您可能希望对其进行 SQL 注入攻击测试,这是网络服务器上最重要的测试之一。此外,您可以检查您的网络服务器是否对 DoS 攻击免疫。
快速提示
在进行渗透测试之前,您应该记住以下几点:
首先了解您的需求并评估所有风险。
聘请获得认证的人员进行渗透测试,因为他们接受过培训,可以应用所有可能的方法和技术来发现网络或 Web 应用程序中可能的漏洞。
在进行渗透测试之前始终签署协议。