渗透测试是通过各种手段对目标进行一次渗透(攻击),通过渗透来测试目标的安全防护能力和安全防护意识。本次笔记的内容是计算机网络安全攻防手段之一的渗透技术,渗透过程最主要的底层基础是目标系统中存在安全漏洞(指信息系统种存在缺陷或不适当的配置,它们可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险)。
利用安全漏洞来造成入侵或破坏效果的程序就称为渗透代码(Exploit),或者漏洞利用代码。
渗透测试分类:
》黑盒测试》/外部测试
》白盒测试》/内部测试
》灰盒测试》/组合测试
1.黑盒测试(black-box Testing)也称外部测试(Exernal Testing)。采用这种方式时的渗透者,将从一个远程网络位置来评估目标网站基础设施,并没有任何目标网络拓扑等相关信息。它们完全模拟真实网络环境中的外部攻击者,采取流行的攻击技术与工具,有组织,有步骤地对目标组织进行逐步渗透和入侵,揭示目标网络中一些已知或未知的安全漏洞,并评估这些漏洞是否能被利用,以获取控制权或者操作业务造成资产损失等。
黑客测试的缺点是测试较为费时费力,同时需要渗透测试者具备较高的技术能力。
优点在于,这种类型的测试更有利于挖掘出系统潜在的漏洞,以及脆弱环节和薄弱点等。
2.白盒测试(white-box Testing)也成为内部测试(Internal Testing).进行白盒测试的渗透者可以了解到关于目标环境的所有内部和底层信息。这可以让渗透测试人员以最小的代价发现和验证系统中最严重的漏洞。
白盒测试的缺点是无法有效地测试客户 组织的应急响应程序,也无法判断出它们的安全防护计划对特定攻击的检测效率。这种测试的优点是发现和解决安全漏洞所花费的时间和代价要比黑盒测试少很多。
灰盒测试将白盒测试的代码指定策略与功能测试和回归测试等各种发现测试方法相结合。软件的内部工作和用户界面都由测试人员评估。
这种测试方法更有效地检测软件中的安全问题。它可以帮助发现由不适当的代码结构或应用程序使用引起的缺陷。
扫一扫
562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
