CISSP考点拾遗——公开测试Overt Testing和隐蔽测试Covert Testing

最新推荐文章于 2024-04-29 10:38:41 发布
最新推荐文章于 2024-04-29 10:38:41 发布
阅读量1.9k 收藏 2
点赞数 3
分类专栏: CISSP考点拾遗 文章标签: 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_element/article/details/127325528
版权

这是一个找遍CISSP三个主要教材(CBK、OSG、AIO)都不见但考试会考到的内容(*^_^*)y

本文中内容主要出自NIST SP 800-115 信息安全测试和评估技术指南TECHNICAL GUIDE TO INFORMATION SECURITY TESTING AND ASSESSMENT ,笔者水平有限,请参见原文以准。

公开测试Overt Testing

在机构的IT人员知情并同意的情况下进行的外部和/或内部测试,从而实现对网络或系统安全状况的全面评估

由于IT人员完全了解并参与了测试,可以实现较高的测试覆盖度,可以提供指导以最小化测试的影响

测试还可以提供一个培训的机会,IT人员可以观察学习评估人员的评估方法和绕过现有安全措施的方法。

公开测试的成本较低,风险比隐蔽测试小,且更多的被采用。

隐蔽测试Covert Testing

采取对抗性的方法,在机构的IT人员不知情的情况下进行测试,但得到了上层管理部门的充分了解和许可。在有或没有警告的情况下进行都可以。

目的是检查攻击者可能造成的损害或影响——它并不侧重于识别漏洞,测试覆盖度低于公开测试;

除了不能充分的识别漏洞外,由于隐蔽性要求,隐蔽测试通常很耗时,而且成本较高。为了在隐蔽环境中操作,测试团队必须控制扫描和其他行动的节奏,以规避目标机构的安全人员的“雷达”。

隐蔽测试的优势在于能更好地揭示目标机构的日常真实安全状态,主要体现在如下三个方面:

  1. 现有安全控制的效用

  2. IT人员对感知到的安全事件的反应

  3. 员工对机构安全政策的了解和执行

隐蔽测试通常需要事先定义明确的界限,当达到一定的访问水平或显现出测试的下一步可以实现某种类型的破坏时,就停止测试。

 

我全家都是CISSP
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1.CISSP 知识体系权重和常见问题1
08-04
1.安全与风险管理 2.资产安全 3.安全工程 4.通信与网络安全 5.身份与访问管理 6.安全评估与测试 7.安全运营 8.软件开发安全
安全测试总结
weixin_30768661的博客
02-08 431
安全测试的问题分类 sql注入 js攻击 缺head头 其他 安全测试的工具 appscan BurpSuite 安全测试流程 启动网站(如果影响不大,可以把登陆退出功能暂时注释掉,在程序里写上固定的用户),确定网站可以正确运行,数据齐全(建议使用新建的数据库,因为安全测试会导入很多乱七八糟的数据) 运行测试软件,配置测试环境(比如数据库类型,系统类型等),...
CISSP Testing
04-11
Certified Information Systems Security Professional exam reference document
CISSP学习详细笔记、错题,考点标黑标红
03-19
CISSP学习详细笔记、错题,考点标黑标红。个人历时3月考试通过,欢迎沟通
CISSP-安全评估与测试.pptx
06-20
CISSP-安全评估与测试.pptx
作为一个测试人需要知道的安全测试
qq_44411339的博客
07-06 1406
在所有类型的软件测试中,安全测试可以被认为是最重要的测试之一,其主要目的是在任何软件(Web或基于网络)的应用程序中找到漏洞,并保护其数据免受可额能的攻击或入侵,忧郁许多应用程序包含机密数据,需要被保护,因此需要定期在这样的应用层下上开展健全测试。流动可以被定义为任何系统的弱点(Vulnerability),入侵者或破坏者可以通过该漏洞对系统进行攻击。如果系统没有严格执行安全测试,那么出现漏洞的机会增加。可以通过打补丁或修复程序来防止系统出现漏洞。WebShell就是以asp、php、jsp或者cgi等网
安全测试回顾(一)
weixin_33767813的博客
12-19 136
零散的总觉一些回顾点吧 一、HTTP协议 超文本传输协议(HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络传输协议,应用与传输HTML网页和超文本数据,例如:图片、音频文件(MP3等)、视频文件(rm、avi等)、压缩包(zip、rar等)等。HTTP协议自身是无状态的。 http1.1 有最大的加载数 http2.0 多用复用 二、HT...
浅谈web安全测试
Smonk小僧の静思小庙
04-01 1455
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
超全的安全测试汇总
weixin_44602565的博客
03-10 9633
1.安全测试在做什么? 扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。 2.安全测试者是怎样定位自己的? 我们经常可以从身边的朋友口中听到一些有关安全的名称,向
什么是安全测试
热门推荐
HONGTester的博客
05-28 1万+
安全测试概述,安全漏洞,安全测试特性,加密算法,安全测试常用工具
Hands-On Penetration Testing on Windows - 2018 pdf 5分
08-09
Hands-On Penetration Testing on Windows pdf 页数:454 来源: https://itbooks.ctfile.com/fs/18113597-302639985 Master the art of identifying vulnerabilities within the Windows OS and develop the ...
经常挂在嘴边的“渗透测试”,到底怎么测?
m0_58477260的博客
03-03 254
提起渗透性测试(模拟黑客进行“合法”的网络入侵测试),人们自然会想到黑客,好象做这种测试的只有真正的黑客才可以做到,但黑客通常是“虚拟网络”中的人物,与现实生活中的人很难对应,对于他们的行为感到神秘也是自然的。测试与攻击有什么不同呢?刚从事安全研究时会很困惑,攻击是不按常理出牌的思维,遵循套路的只能是表演,不会实用,那么安全公司的专家们是如何进行渗透性测试呢?一般来说,这种测试的过程都是半隐蔽的,不同的安全公司、不同的人做这种测试的结果差异巨大。
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 5344
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
内网渗透测试:隐藏通讯隧道技术
qq_45521281的博客
02-21 2053
我的Freebuf:https://www.freebuf.com/author/MrAnonymous 我的博客:https://whoamianony.top/ 文章目录什么是隧道?先判断内网连通性网络层隧道技术IPv6 隧道ICMP 隧道icmpshPingtunnelicmptunnel传输层隧道技术lcx端口转发内网端口转发本地端口转发二者结合使用NetCat——瑞士军刀内网代理PowerCat应用层隧道技术SSH协议本地转发实验远程转发实验动态转发实验HTTP(S)协议reGeorgSOCKS.
什么是安全测试(security testing)?
TestNewton的博客
09-10 5759
安全测试(securitytesting):就是在软件研发和维护过程中,通过不同的测试方法,发现安全性的问题,包括下列各类问题: 信息泄露、破坏信息的完整性 拒绝服务 非法使用(非授权访问)、窃听 业务数据流分析 假冒、旁路控制 授权侵犯(内部攻击) 抵赖(来自用户的攻击) 计算机病毒、恶意软件 信息安全法律法规不完善 检验系统是否满足安全性要求: 真实性:保证信息来源真实可靠 保密性:确保信息只被授权人访问,信息即使被截取也不能了解信息的真实含义 完整性:保护信息和信息处理方法的准确性和原始性,包括数据
安全架构概述
hummhumm的专栏
04-29 1000
网络安全概述。
分布式系统.pptx
04-29
分布式系统.pptx
源代码-360通用ASP防护代码(防sql注入).zip
04-29
源代码-360通用ASP防护代码(防sql注入).zip
node-v8.1.0-darwin-x64.tar.gz
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ctf和cissp有什么区别
04-04
CTF(Capture The Flag)和CISSP(Certified Information Systems Security Professional)是两个不同的概念和领域。 CTF是一种网络安全竞赛形式,旨在测试参赛者在网络安全方面的知识和技能。参赛者需要在规定时间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值