信息安全渗透测试
渗透测试(shì):是为了证(zhèng)明网络防御(yù)按照预(yù)期计划正(zhèng)常运行而提供的一种机制。不妨假设,你的公司(sī)定期更新安全(quán)策略和程(chéng)序,时时给系(xì)统(tǒng)打补丁,并(bìng)采用了(le)漏洞扫描器等工具,以确保所有补丁都(dōu)已打上。如果(guǒ)你早(zǎo)已做到了这些(xiē),为什么还要请外方进行(háng)审查或渗透(tòu)测(cè)试(shì)呢?因为,渗透测试能够独立(lì)地检查你的网络(luò)策略,换句(jù)话(huà)说,就是给你的系(xì)统安了一双眼睛。而且,进行这类测试的,都(dōu)是寻(xún)找网络系统安全漏洞的专业人士。
服(fú)务简(jiǎn)介
渗透测试:是为了证明网络防御按(àn)照(zhào)预期计划正常运行(háng)而(ér)提供的一种(zhǒng)机(jī)制。不妨假设,你的公司定期更新(xīn)安全策略和程序,时时给系(xì)统打(dǎ)补丁,并采用了(le)漏洞扫描器等工(gōng)具,以确保所有补丁都已打(dǎ)上。如果(guǒ)你早已做到(dào)了(le)这些,为(wéi)什么还要请外方进(jìn)行(háng)审查或渗(shèn)透测试呢?因(yīn)为,渗透测试能够独立(lì)地检查(chá)你的网络策略,换句(jù)话说,就是给你的系统安了一双眼(yǎn)睛。而且,进行这类测试的,都是寻找网(wǎng)络系统安全漏洞的专业人士(shì)。
渗透测试流程:
1.前期交互阶段、情报搜集阶段、威(wēi)胁建模阶(jiē)段、漏洞(dòng)分析(xī)阶段(duàn)、
2.渗透攻(gōng)击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制,维(wéi)持(chí)访问)、报告阶段(duàn)。
3.攻(gōng)击前:网络(luò)踩点、网络扫描、网络查(chá)点
4.攻击中:利用(yòng)漏洞信息进行渗透攻(gōng)击、获取权限
5.攻击后:后渗(shèn)透(tòu)维持攻(gōng)击、文件拷贝、木马植入、痕迹擦除
1、黑箱测试
黑箱测试又被称为所谓的(de)“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态(tài),通常(cháng)这类型测试,最(zuì)初的(de)信息获取来自于DNS、Web、Email及各(gè)种公开对(duì)外的服务(wù)器。
2、白盒测试
白盒测试与黑箱测(cè)试恰恰相反,测(cè)试者可以(yǐ)通过(guò)正常渠(qú)道向被测单位取得各(gè)种资料,包括网络(luò)拓扑、员(yuán)工资料(liào)甚(shèn)至网站或其它程序的代码片断,也能够与单位的其它员工(gōng)(销售、程序员、管理者……)进行面对面的沟(gōu)通。这类(lèi)测试的目的(de)是模拟企业内(nèi)部雇员的越权操作。
3、隐(yǐn)秘测试
1、主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试(shì)。
2、数据(jù)库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进(jìn)行渗透测试。
3、应用系统渗透
对渗透目(mù)标提供的各种应用,如ASP、CGI、JSP、PHP等(děng)组成的WWW应用进行渗透(tòu)测试。
4、网络设备渗透
对(duì)各种防(fáng)火墙、入(rù)侵检测系(xì)统、网络设备进行渗透测(cè)试。
渗透测试流程:
1.前期交互阶段、情报搜集阶段、威(wēi)胁建模阶(jiē)段、漏洞(dòng)分析(xī)阶段(duàn)、
2.渗透攻(gōng)击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制,维(wéi)持(chí)访问)、报告阶段(duàn)。
3.攻(gōng)击前:网络(luò)踩点、网络扫描、网络查(chá)点
4.攻击中:利用(yòng)漏洞信息进行渗透攻(gōng)击、获取权限
5.攻击后:后渗(shèn)透(tòu)维持攻(gōng)击、文件拷贝、木马植入、痕迹擦除
渗透测试(shì)分类:
1、黑箱测试
黑箱测试又被称为所谓的(de)“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态(tài),通常(cháng)这类型测试,最(zuì)初的(de)信息获取来自于DNS、Web、Email及各(gè)种公开对(duì)外的服务(wù)器。
2、白盒测试
白盒测试与黑箱测(cè)试恰恰相反,测(cè)试者可以(yǐ)通过(guò)正常渠(qú)道向被测单位取得各(gè)种资料,包括网络(luò)拓扑、员(yuán)工资料(liào)甚(shèn)至网站或其它程序的代码片断,也能够与单位的其它员工(gōng)(销售、程序员、管理者……)进行面对面的沟(gōu)通。这类(lèi)测试的目的(de)是模拟企业内(nèi)部雇员的越权操作。
3、隐(yǐn)秘测试
隐秘测(cè)试是对被测(cè)单(dān)位(wèi)而言(yán)的(de),通常(cháng)情况(kuàng)下,接受渗透测(cè)试的(de)单(dān)位网络管理部(bù)门会收到通知:在某些时段进(jìn)行测试。因此能够监测网络(luò)中出(chū)现的变化。但隐秘测试则被测单位也仅有(yǒu)极少数(shù)人知晓测试(shì)的存在,因此能够有效地(dì)检(jiǎn)验(yàn)单位中的(de)信息安全事件监控、响(xiǎng)应、恢复做得是否到位(wèi)。
1、主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试(shì)。
2、数据(jù)库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进(jìn)行渗透测试。
3、应用系统渗透
对渗透目(mù)标提供的各种应用,如ASP、CGI、JSP、PHP等(děng)组成的WWW应用进行渗透(tòu)测试。
4、网络设备渗透
对(duì)各种防(fáng)火墙、入(rù)侵检测系(xì)统、网络设备进行渗透测(cè)试。
服务(wù)优势
效.png)
安全高效
技(jì)术(shù)先进(jìn)
服务到位(wèi)
方案灵活
