【什么是滲透測試】 滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。 滲透測試是通過模擬惡意 黑客 的攻擊方法,來評估 計算機網絡系統 安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一
【什么是滲透測試】
滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
通俗的說法:滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
作為網絡安全防范的一種新技術,對于網絡安全組織具有實際應用價值。但要找到一家合適的公司實施滲透測試并不容易。
【滲透測試方法】
1、黑箱測試黑箱測試又被稱為所謂的“Zero-Knowledge Testing”,滲透者完全處于對系統一無所知的狀態,通常這類型測試,最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務器。2、白盒測試白盒測試與黑箱測試恰恰相反,測試者可以通過正常渠道向被測單位取得各種資料,包括網絡拓撲、員工資料甚至網站或其它程序的代碼片斷,也能夠與單位的其它員工(銷售、程序員、管理者……)進行面對面的溝通。這類測試的目的是模擬企業內部雇員的越權操作。3、隱秘測試隱秘測試是對被測單位而言的,通常情況下,接受滲透測試的單位網絡管理部門會收到通知:在某些時段進行測試。因此能夠監測網絡中出現的變化。但隱秘測試則被測單位也僅有極少數人知曉測試的存在,因此能夠有效地檢驗單位中的信息安全事件監控、響應、恢復做得是否到位。【滲透測試目標】
1、主機操作系統滲透對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統本身進行滲透測試。2、數據庫系統滲透對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數據庫應用系統進行滲透測試。3、應用系統滲透對滲透目標提供的各種應用,如ASP、CGI、JSP、PHP等組成的WWW應用進行滲透測試。4、網絡設備滲透對各種防火墻、入侵檢測系統、網絡設備進行滲透測試。【創想滲透測試流程】
【選擇創想的原因】
- 行業領先的信息安全專業服務提供
- 提供從咨詢、規劃、設計、實施到行業整體解決方案全面的服務解決方案
- 公司員工具有多年的企業安全服務、信息咨詢服務經驗,以及專業服務實踐
- 基于企業規模,業務模式,應用范圍的信息系統的有針對性的服務方案
- 以客戶需求為中心的靈活的服務解決方案設計
