一、什么是渗透测试
渗透测试(Penetration Testing)是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。
渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。通常评估方法对评估结果更具全面性,而渗透测试更注重安全漏洞的严重性。
渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。
二、渗透测试的好处
- 明确安全隐患点
渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。
- 提高安全意识
如上所述,任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
- 获得渗透测试报告
通过专业的渗透测试报告,为用户提供当前流行安全问题的参考。
三、渗透测试的服务方式
根据测试的位置不同可以分为内部测试和外部测试;根据测试的方法不同分为黑盒测试和白盒测试两类。
- 内部测试
内部测试是指经过用户授权后,测试人员到达用户工作现场,根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。
- 外部测试
与内部测试相反,测试人员无需到达客户现场,直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户,主要用于检测外部威胁源和路径。
- 黑盒测试
黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式可以较好的模拟黑客行为,了解外部恶意用户可能对系统带来的威胁。
- 白盒测试
白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试,如:目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。
四、渗透测试流程
- 明确目标
- 分析风险,获得授权
- 信息收集
- 漏洞探测(手动&自动)
- 漏洞验证
- 信息分析
- 利用漏洞,获取数据
- 信息整理
- 形成报告
以上是一般渗透测试的流程,天磊卫士在之后还加入了复测阶段:
在经过第一次渗透测试报告提交和沟通后,等待针对渗透测试发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,进行二次复测。复测结束后提交给复测报告和对复测结果进行沟通。
然后根据一次渗透测试和二次复测结果,整理渗透测试服务输出成果,最后汇报项目领导。
流程形成了完整闭环,能够及时有效地解决企业和组织在渗透测试后发现的问题,做好网络安全防护,降低网络风险。
学习资源分享
很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的《平均薪资40w的网络安全工程师学习路线图》
一些其他平台白嫖不到的视频教程
网络安全超实用教程文档工具包
查漏补缺面试题库
常用工具一览表
以上学习路线附全套教程无偿分享,如有朋友需要扫码下方二维码免费获取,免费领取!
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
