关于渗透测试的一些理解

最新推荐文章于 2023-06-12 15:36:55 发布
最新推荐文章于 2023-06-12 15:36:55 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39901032/article/details/102893002
版权

1.什么是渗透测试

渗透测试是一种实施安全评估(即审计)的一种手段。我们进行渗透测试的主要目的是:评估网络、系统、应用三者组合使用下的安全状况。
两种最为广泛的渗透测试类型:黑盒测试和白盒测试

2.脆弱性评估与渗透测试的区别

脆弱性评估和渗透测试最大的区别:渗透测试不仅要识别目标弱点,还设计目标系统上进行漏洞利用、权限提升、访问维护。且渗透测试倾向于入侵,刻意使用技术手段,利用安全漏洞,而脆弱性评估是用非侵入性手段,定性,定量的识别已知安全漏洞。

3.安全测试方法论

注意:安全状态是一个持续变化的过程,我们的渗透测试与脆弱性评估仅可保证系统被测一刻的安全状态
安全测试方法论主要包含以下几种类型,并且其中1,2两种方法论最为常用。
1)开源安全测试方法论
2)信息系统安全评估框架
3)开放式web应用安全项目
4)渗透测试执行标准
5)Web应用安全联合威胁分类

1)开源安全测试方法论(OSSTMM)

开源测试方法论把安全评估工作划分为四个组:范围、信道、索引、矢量
范围:评估人员手机被测单位的全部资产的相关信息工作
信道:资产之间的通信方式,信道包含多种多样的形式:物理方式,光学方式,和其他通信方式。每个信道都构成了一套独特的安全组件,都要在评估阶段进行测试和验证。组件主要包含:物理安全、人类心理学、数据网络、无线通信介质、电信设施等。
索引:泛指与特定资产和相应ID对应关系。eg:MAC地址与IP地址对应关系。
矢量:审计人员访问和分析功能性资产的方式
OSSTMM测试体系的测试方法,通过审查***控制安全、流程安全、数据控制、物理位置、周界防护、安全意识水平、信任关系、反欺诈控制***等手段,全面评估被测单位安全性。
OSSTMM引入RAV(Risk Assessment Value,风险评估值)概念,量化系统安全性。RAV基于运营安全、损耗控制、局限程度的标称值来计算安全标称值。

2)信息系统安全评估框架

3)开放式web应用安全项目

4)渗透测试执行标准

5)Web应用安全联合威胁分类

python小白1991
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试指南之七个阶段
11-11
渗透测试指南是根据PETS翻译整理的一份资料,供学习渗透测试的朋友更系统的学习了解渗透测试七个阶段工作。七个阶段涵盖内容分别为前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、报告阶段。 了解这七个阶段有助于我们理解渗透测试全流程工作,同时也可以提供非常好的报告编制参考。另外,再结合Kali的offensive等资料,整理出一套较规整的标准化的渗透测试方法论。 渗透测试工作参考资料很多,本篇供入门者参考! PTES这一部分的目的是介绍和解释可用的工具和技术,这些工具和技术有助于渗透测试的成功预参与步骤。本节中的信息是世界上一些最成功的渗透测试人员多年综合经验的结果。如果寻找渗透测试的客户,我们强烈建议您转到本文档的“一般问题”部分。它涵盖了测试开始前应回答的主要问题。请记住,渗透测试不应该是对抗性的。它不应该是一个查看测试人员是否可以“破解”你的活动。它应该是关于识别与攻击相关的业务风险。要获得最大价值,请确保涵盖本文档中的问题。此外,随着范围界定活动的进行,一家好的测试公司将开始为您的组织量身定制其他问题。 欢迎专家能手交流指正!
OSSTMM3.0(The Open Source Security Testing Methodology Manual)
04-25
The Open Source Security Testing Methodology Manual
为什么要做渗透测试
04-27 152
为什么要做渗透测试? 技术性验证/检查安全隐患 有效的主动性防御手段,技术性验证目标系统的安全性,查找系统的安全隐患。 合规、评估的基本要求 渗透测试是安全规范和法律的基本要求,如等级保护、风险评估中均要求进行渗透性测试。 单位形象/经济规避 渗透测试可帮助企业因安全问题带来的单位形象的损失和经济损失的风险,提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。 安全教育与技能提升 渗透测试的结果可作为内部安全意识的案例,在对相关的接口人员进行安全教育时使用。
渗透测试」是什么?为什么要使用它?
m0_58477260的博客
03-03 403
渗透测试主要包括评估应用程序和基础架构的漏洞,渗透测试可以识别系统内的许多漏洞以及查明导致这些漏洞的原因。
关于渗透测试,你需要知道的一切
m0_63052740的博客
04-24 3818
本文将讨论什么是渗透测试?为什么需要进行渗透测试?以及如何安全有效地进行测试。还将提供渗透测试方法的清单,以便确保充分利用渗透测试过程。 什么是渗透测试? 渗透测试(Pentesting)是一种通过模拟外部恶意人员或黑客的攻击来评估计算机系统安全性的技术。其目的是识别任何漏洞,以便在真正的网络攻击者利用它们之前修复它们。渗透测试通常被称为“道德黑客攻击”,因为它们在获得企业许可的情况下使用与网络攻击者相同的技术,这样企业就会知道自身弱点在哪里,以及对外部恶意攻击的防御能力有多强。例如:如果有人能够通
如何理解渗透测试
liuhyusb的博客
06-12 51
如何理解渗透测试
企业渗透测试介绍
12-01
随着IT安全产业的迅速发展,大量新技术、新领域不断涌现,使得我们能够更好地理解和正确地维护网络安全。然而由于许多商业性机构经常会错误理解安全评估的不同类型,导致人们常会把漏洞扫描和渗透测试搞混。
DVWA渗透测试网站
09-03
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA-DVWA渗透测试平台文件
03-07
DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞的web应用。...帮助web开发人员理解web应用保护的过程,还可以在课堂中为... DVWA现在已包含在流行的渗透测试Linux发行版中,例如Samurai的Web测试框架等。
Kali Linux渗透测试实战
03-10
Kali Linux渗透测试实战 如果您之前使用过或者了解BackTrack系列Linux的话,那么我只需要简单的说,Kali是BackTrack的升级换代产品, 从Kali开始,BackTrack将成为历史。如果您没接触过BackTrack也没关系,我们从头...
网络安全渗透测试指导框架
01-21
最全面的网络安全渗透测试框架(指导性程序)。含 1、OSSTMM 3.0(截止目前最新) 2、NIST-800 3、ISSAF 4、OWASP 5、WASC-TC(V2.0)
为什么渗透测试很重要
fzy18757569631的博客
02-10 162
.
渗透测试公司谈网站安全评估方法
网站安全专家
07-15 272
很多渗透测试公司对当前在各种安全评估方法总体上按不同的划分标准可以分为四种:依据性质划分的安全评估方法、根据威胁量和攻击等级划分的安全评估方法、基于一定模型的安全评估方法、综合安全评估方法。这四类安全评价方法各有其特点,需要评价方和被测者根据自己的需求和渗透测试的具体结果,选择安全评价方法的类型。下面将对安全评估方法的四种不同类型作具体说明: (1)安全评估方法基于性质划分:方法主要基于测验对象和评估者的经验、过去案例的分析、总体安全形势的趋势预测等方面,具有很强的主观性,对测试者和评估人员的专业要求
渗透测试和漏洞评估的真相
weixin_34347651的博客
07-11 858
人们常会把漏洞评估和渗透测试搞混。事实上,这俩术语确实往往交替使用,但,它俩之间其实是天壤之别。为强化公司的网络风险态势,不单单需要测试漏洞,还需要评估漏洞是否可被切实利用,以及它们代表着什么风险。而增强公司对网络攻击的弹性,则需要理解漏洞评估、渗透测试和网络风险分析之间的内部联系。 漏洞评估已成为当今动态威胁态势下的主流安全实践。利用漏洞扫描器,无论...
安全测试、渗透测试理解
一缕阳光
03-10 2128
安全测试是侧重于应用程序所面对对安全威胁而进行的有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。目的并不最终证明应用程序是安全的,而是用于验证存在哪些安全漏洞,来确保应用程序的安全。 渗透测试是以黑客的角度,由企业外部或在企业内部对目标网络环境作深入的安全探测,从外部或内部网络收集系统的相关信息,探查出逻辑性更强、更深层次的漏洞,预先找出企业脆弱的环节。渗透测试的目的不是为了确认功能,
渗透测试的目的是什么?
weixin_44052945的博客
03-11 9303
网络经济的兴起,越来越多的互联网企业和正在转型的传统企业将交易平台放到了互联网上,伴随而来的是需要为在线交易系统投入巨大的精力和资金。但是,就企业的安全团队看来,当基本的安全设备搭建配置妥当之后,防御能力的体现却似乎差强人意。在如此瓶颈之下,一味的投入也不能明显看到安全水平的提升,这是典型的"安全性玻璃天花板"状况,存在于不同行业、不同发展阶段的企业当中。 企业在安全上投入了巨大的精力和资金,但有...
渗透测试成功的8个关键
anquanniu的博客
10-11 2523
1. 知道为什么要测试 执行渗透测试的目的是什么?是满足审计要求?是你需要知道某个新应用在现实世界中表现如何?你最近换了安全基础设施中某个重要组件而需要知道它是否有效?或者渗透测试根本就是作为你定期检查防御健康的一项例行公事? 当你清楚做测试的原因时,你也就知晓自己想从测试中得到什么了,而这可以让测试规划工作更有效率。知道做测试的缘由可以让人恰当地确立测试的范围,确定测试结果将会揭露什么问题。 或...
(解读)什么是渗透测试(Penetration Testing)?
热门推荐
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
12-16 5万+
(解读)什么是渗透测试(Penetration Testing)?   渗透测试(Penetration Testing),也称为Pen Testing,是测试计算机系统、网络或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用自动化或手动执行。无论哪种方式,该过程都包括在测试之前收集关于目标的信息,识别可能的入口点,试图闯入(虚拟的或真实的)并报告结果。  让我们...
神经网络与量子计算的交叉研究.pptx
最新发布
04-19
神经网络与量子计算的交叉研究.pptx
kali渗透测试实验
09-19
Kali Linux是一个专门用于渗透测试和网络安全的操作系统。搭建Kali Linux作为渗透测试实验平台是学习渗透测试的一种最佳方式之一。你可以使用虚拟化技术,如VMware Workstation,在电脑中模拟一个计算机环境,然后在这个环境中进行渗透测试。这样的好处是你可以放心地进行测试,而不用担心法律问题。使用合法的渗透测试环境可以帮助你学习和理解渗透测试的原理和技术,同时也有助于提高你的安全意识和防御能力。 渗透测试不仅仅是评估系统漏洞的存在,它还使用已发现的漏洞来进行测试,以验证漏洞的真实性。与审计或评估不同,渗透测试使用恶意黑客的手段来攻击系统漏洞,从而确定哪些漏洞是真实存在的。在渗透测试中,目标性攻击比大范围攻击更能真实地反映系统的安全问题和处理突发情况的响应时间。因此,针对特定系统的有特定目标的渗透测试更加有效。 关于Kali渗透测试实验还有其他方面的内容,如渗透测试生命周期、侦查、扫描、渗透、维持访问以及报告和模板等。你可以深入了解这些内容,以建立一个完整的渗透测试知识体系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值