本文只是粗略谈论渗透测试与安全,有觉得说的不好的请大佬们不要喷。
一、安全的根源
1、分层思想的优劣
好处:可以将复杂的东西简单化,将一个问题分为多个层次,通过接口将层次连接形成一个系统
坏处:只看到系统的片面无法明白整个系统,非常片面,对安全的认识非常片面,对于安全需要全面化
2、追求功能的实现
为了提高工作效率,每个层次的工作者只追求工作的完成,网络的只要求网络能联通,负责代码的只求代码能运行,不会从安全的角度来审视自己的工作
3、最大的漏洞"人"
二、安全目标
1、先于攻击者发现的防止漏洞的出现
2、攻击型安全
以攻击型的方式建设系统
3、防护型安全
以防护型的方式建设系统
三、渗透测试
1、尝试挫败安全机制,发现系统安全弱点;
2、从攻击者的角度思考,测量安全防护有效性;
3、证明安全的问题的存在,而非破坏;
4、道德约束;
5、法律;
6、能力越大责任越大;
7、所有的攻击都是有迹可循的,千万不要怀疑有侥幸心理
作为网络完全从业人员,今天以后看不见你的同事来上班,你大概就懂他去哪里了。
四、渗透测试的标准