- 渗透测试教程
- 渗透测试 - 首页
- 渗透测试 - 简介
- 渗透测试 - 方法
- 测试与漏洞评估
- 渗透测试 - 类型
- 手动与自动化
- 渗透测试 - 工具
- 渗透测试 - 基础设施
- 渗透测试 - 测试人员
- 渗透测试 - 报告编写
- 渗透测试 - 伦理黑客
- 渗透测试与伦理黑客
- 渗透测试 - 限制
- 渗透测试 - 修复
- 渗透测试 - 法律问题
- 渗透测试资源
- 渗透测试 - 快速指南
- 渗透测试 - 资源
- 渗透测试 - 讨论
渗透测试 - 限制
由于信息和技术领域的飞速发展,渗透测试的成功案例相对短暂。随着系统需要更多保护,为了将成功攻击的可能性降低到公司可以接受的水平,您需要更频繁地进行渗透测试。
以下是渗透测试的主要限制:
时间限制 − 众所周知,渗透测试并非一项有时间限制的活动;然而,渗透测试专家会为每次测试分配固定的时间。另一方面,攻击者没有时间限制,他们可以计划一周、一个月甚至数年。
范围限制 − 许多组织由于自身限制,包括资源限制、安全限制、预算限制等,并不会测试所有内容。同样,测试人员的范围有限,他们必须忽略系统中许多可能更容易受到攻击且可能成为攻击者完美目标的部分。
访问限制 − 测试人员通常对目标环境的访问权限有限。例如,如果一家公司对其整个互联网网络的 DMZ 系统进行了渗透测试,但如果攻击者通过正常的互联网网关进行攻击呢?
方法限制 − 渗透测试期间目标系统可能会崩溃,因此某些特定的攻击方法可能会被专业渗透测试人员排除在外。例如,制造拒绝服务洪流来分散系统或网络管理员对另一种攻击方法的注意力,这通常是坏人的理想策略,但对于大多数专业渗透测试人员来说,这很可能超出了参与规则。
渗透测试人员技能限制 − 通常,专业渗透测试人员的技能有限,无论他们的专业知识和过去经验如何。他们大多数人专注于特定技术,对其他领域的知识很少。
已知漏洞的限制 − 许多测试人员只了解公开的漏洞。事实上,他们的想象力不如攻击者发达。攻击者通常比测试人员考虑得更远,并发现可利用的漏洞进行攻击。
实验限制 − 大多数测试人员的时间有限,并且遵循组织或上级已经给他们的指示。他们不会尝试新的东西。他们不会超越既定的指令思考。另一方面,攻击者可以自由地思考、实验和创建新的攻击路径。
此外,渗透测试既不能取代例行的 IT 安全测试,也不能替代通用的安全策略,而是补充既定的审查程序并发现新的威胁。