一.基本概念
1.历程:密码学,2010web2.0,网络层,网络空间
- 信息安全法:应用一些软件进行下一步需要引导下载某个软件,而现在不下载也可以
- 信息安全标准:安全产品标准,安全技术标准,安全管理标准。
2.安全管理标准应用举例:一个公司产品质量高,人员规格高,但密码admin
3.等保:等级保护与测试评估
4.ips ids 入侵防御系统 入侵检测系统
5.VPN:虚拟的私有网
二.信息安全运维
常见安全:文件传输不加密
三.等保
1.定义
1.信息安全等级保护
2.等级区分方法
- 分等级保护
- 安全产品分等级管理
- 对安全事件的响应
3.等保等级划分
- 自主保护级
- 指导保护级
- 监督保护级
- 强制保护级
- 专控保护级
4.等级保护政策内容
- 技术层面:物理 网络 主机 应用 数据
5.网络安全解读
6. 应用及数据安全
二.渗透测试
1.环境配置
- 安装虚拟机vmware
- 下载kali操作系统 (iso镜像文件或者压缩文件)
2.基础知识
- 渗透测试:模拟攻击者的技术和方法,挫败目标安全措施,取得目标系统的访问控制权,以此发现安全隐患。
- 安全漏洞:系统中存在的缺陷或者不恰当的配置(能够进行渗透测试的前提)
- 渗透代码:造成入侵和破坏效果的程序(打点,通过某个点进行渗透
3.渗透测试分类
- 黑盒测试:需要进行大量信息收集,对技术人员要求高,类似真实黑客攻击。
- 白盒测试:定点指向的做测试,周期短。
- 灰盒测试:组合测试,黑白盒结合
4.渗透测试-目标分类
- 操作系统渗透获得的信息价值较大
- 数据库为了获取数据
- edf war 网络设备渗透
5.网络安全生命周期
- 漏洞研究发掘
- 代码开发测试(确定存在相应漏洞)
- 漏洞和渗透代码在封闭团队交流
- 安全漏洞和渗透代码开始扩散
- 恶意程序出现并传播
- 渗透代码大规模传播
- 漏洞逐渐消亡
0day漏洞 : 漏洞还没有流传出去(你有核武器别人没有)
1day漏洞 : 漏洞已经流传,但厂家还没反应过来,没进行应对措施
6.安全漏洞披露方式
- 完全公开披露
- 负责任的披露(发现漏洞并提示)
- 进入地下经济链
- 小范围利用直至被动披露
- 现阶段:众测,大众一起去测试,测试完漏洞可以提交到平台,众测赏金模式,公司愿意付费。
7.渗透测试过程环节
-
前期交互阶段(确定测试范围,测试时间)
-
情报搜集(主动收集与被动收集)
-
威胁建模阶段
-
漏洞分析阶段
-
渗透攻击阶段
-
后渗透攻击阶段(消除痕迹,篡改日志,跳板攻击):扩大战果
-
报告阶段
8.渗透测试意义
3899
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
