您好,欢迎访问全国教育考试教材网
购物车
商品分类

商品分类

  1. 全国教育考试教材网首页
  2. 新闻资讯

什么是渗透测试?

新闻资讯

Pentest 没有标准定义。国外一些安全组织达成的普遍共识是,渗透测试是通过模拟恶意黑客的攻击方式来评估计算机网络系统安全性的一种评估方法。此过程包括从攻击者可能存在并能够主动利用安全漏洞的位置主动分析系统中的任何弱点、技术缺陷或漏洞。

换句话说,渗透测试是指渗透人员使用各种手段在不同地点(如从内部网络、从外部网络等)对特定网络进行测试,以发现和利用系统中的漏洞。然后输出渗透测试报告并提交给网络所有者。网络所有者可以根据渗透人员提供的渗透测试报告清楚地了解系统中存在的安全风险和问题。

我们先看一个例子

银行在开设金库前通常会进行安全检查,如:金库门是否容易损坏,金库的报警系统在出现异常时能否及时报警,所有门窗、通道等关键易损部位是否牢不可破。金库安全管理系统、视频安全监控系统、出入口控制、人员污点排查、应急演练。

渗透测试的目的

入侵系统并获取机密信息,并向用户提供入侵过程和详细信息的报告,从而识别用户系统的安全威胁,及时提醒安全管理员改进安全策略,降低安全风险。

经过专业的渗透测试,即使系统没有被攻破,也可以证明之前实施的防御措施是有效的。专业的渗透测试可以有效评估系统的安全状况并提出合理的改进方案。

渗透测试类别

根据渗透测试方法可分为:

黑盒测试:将测试对象视为黑盒,安全性不考虑测试对象的内部结构;

白盒测试:将测试对象视为一个开放的盒子,测试人员根据与测试对象内部逻辑结构相关的信息来设计或选择测试用例;

灰盒测试:介于白盒和黑盒之间。它是一种基于对测试对象内部细节的有限了解的软件测试方法。

根据测试目标分类,可分为:个

主机操作系统测试

数据库系统测试

应用系统测试

网络设备测试

渗透测试流程

什么是渗透测试?

渗透测试有一个执行标准(PTES),其核心概念是通过建立进行渗透测试所需的基本标准基线来定义真正的渗透测试流程。该标准将渗透测试过程分为七个阶段,分别是:交互前阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、渗透后攻击阶段、报告阶段。

1.早期互动阶段。

在前期互动阶段,渗透测试团队主要与客户组织进行互动讨论。重点是确定渗透测试的范围、目标约束和服务合同细节。

此阶段通常涉及收集客户需求、准备测试计划、定义测试范围和边界、定义业务目标、项目管理和规划等活动。

客户出具授权书并同意实施方案。渗透测试首先必须向客户提交实施方法、实施时间、实施人员、实施工具等具体实施方案,并获得客户相应的书面委托和授权。客户应了解渗透测试的所有细节和风险,所有过程均应在客户的控制下进行。

2.信息收集与分析阶段。

信息收集是每一步渗透攻击的前提。通过信息收集,可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率。同时可以有效减少攻击测试对系统正常运行的不利影响。该步骤主要包括白盒采集、人力资源情报、检查点、寻找外部网络入口、识别防御机制等。

3.威胁建模阶段

威胁建模主要利用情报收集阶段获得的信息来识别目标系统可能存在的安全漏洞和弱点。

在威胁建模阶段,通常需要将客户组织视为对手,然后尝试从攻击者的角度和思维来利用目标系统的弱点。

此阶段的工作主要包括:业务流程分析、威胁对手/社区分析、威胁对手/社区分析。

4.漏洞分析阶段

漏洞分析阶段主要是分析前面步骤获得的信息,了解哪些攻击路径是可行的。

尤其要重点分析情报收集过程中获得的端口和漏洞扫描结果、提取的服务“标志”信息等关键信息。

5、渗透攻击阶段

渗透攻击主要是对目标系统进行深入研究和测试的渗透攻击,而不是进行大量无目的的渗透测试。

6. 渗透后攻击阶段

渗透后攻击阶段主要从受损的客户组织系统中识别关键基础设施,并寻找最有价值的信息和资产。主要包括:基础设施分析、高价值目标识别、敏感信息掠夺、痕迹隐藏、权限维护。

用户评论


煮酒

渗透测试听起来好高大上,但能具体说说它是怎么进行的吗?

    有8位网友表示赞同!


余温散尽ぺ

以前一直好奇这个,现在终于有机会了解了,希望文章能深入浅出。

    有7位网友表示赞同!


*巴黎铁塔

渗透测试是安全领域的利器,但是操作不当可能会带来风险,得谨慎啊。

    有9位网友表示赞同!


花容月貌

第一次听说渗透测试,感觉好专业,得赶紧去查查相关资料。

    有17位网友表示赞同!


殃樾晨

渗透测试对于网络安全来说太重要了,这篇文章太及时了。

    有14位网友表示赞同!


矜暮

渗透测试,是不是就是黑客攻击的一种合法形式?好奇中…

    有6位网友表示赞同!


笑傲苍穹

文章开头就有点云里雾里,能更详细地解释一下渗透测试的目的吗?

    有10位网友表示赞同!


余温散尽ぺ

渗透测试对于企业来说是不是一个必须的环节?小公司能做吗?

    有5位网友表示赞同!


墨城烟柳

渗透测试听起来很复杂,但我觉得它对提升网络安全很有帮助。

    有18位网友表示赞同!


不识爱人心

渗透测试和漏洞扫描有什么区别?希望文章能对比一下。

    有20位网友表示赞同!


暖瞳

渗透测试怎么判断成功与否?有没有标准?

    有11位网友表示赞同!


冷落了♂自己·

渗透测试的费用很高吗?对于个人来说,有没有学习的途径?

    有14位网友表示赞同!


孤独症

渗透测试文章看多了,但还是感觉挺有收获的,谢谢作者。

    有15位网友表示赞同!


无寒

渗透测试听起来很神秘,但我觉得它对于保护我们的数据安全至关重要。

    有20位网友表示赞同!


冷眼旁观i

渗透测试的难度是不是很大?有没有适合初学者的教程?

    有20位网友表示赞同!


逾期不候

渗透测试在实际应用中会遇到哪些困难?

    有13位网友表示赞同!


相知相惜

渗透测试的文章终于看到了,希望能多分享一些实战经验。

    有6位网友表示赞同!


灼痛

渗透测试对于网络安全来说是一把双刃剑,用得好可以保护我们,用不好可能会带来灾难。

    有19位网友表示赞同!

网络安全渗透测试工程师必须学习的攻防技术有哪些? CISPPTE认证培训
« 上一篇 2024年9月29日 上午9:41
渗透测试及渗透测试操作流程
下一篇 » 2024年9月29日 上午9:41

相关推荐