版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、渗透测试介绍2015年4月什么是渗透测试?渗透测试是一种合法的,经过授权的,定位某企业网络及应用系统,并对其成功实施漏洞扫描或攻击,找出企业网络和系统的安全薄弱环节。渗透测试的目的?使受测企业的网络和应用系统更加安全。黑客行为不合法的,未经授权的,探测和攻击破坏。渗透测试和漏洞评估的区别漏洞评估:检查系统和服务是否存在潜在安全问题的过程渗透测试:通过执行漏洞利用和提供渗透测试报告来证明系统确实存在安全隐患。能够模拟黑客行为并提供攻击载荷(payload),比漏洞评估更进一步。渗透测试范围获得授权后,渗透测试人员和被审计公司必须协商测试范围。该范围要包括一些明确信息,诸如对哪些资源和系统进行测试
2、。在该范围中,要对渗透测试者有权进行测试的目标给出明确的限定。例如不允许使用拒绝服务(DDOS)攻击,不允许安装木马病毒等等。渗透测试类型黑箱测试:渗透测试人员不了解受测公司的任何情况,拿到手的仅仅为受测公司的web网站的地址或IP地址。白箱测试:渗透测试人员得到了受测公司的一张完整网络拓扑图或操作系统和应用列表。灰箱测试:测试人员模拟内部员工,得到一个内部账户,用于评估来自企业内部的攻击。渗透测试步骤侦查,信息收集扫描,端口扫描,漏洞扫描漏洞利用,进入系统,获得权限维持访问,后门,擦除证据编写渗透测试报告侦查,信息收集侦查,信息收集维持访问维持访问扫描扫描漏洞利用漏洞利用渗透测试报告渗透测试
3、报告侦查任何渗透测试方法的第一步都是侦查。这个阶段负责收集目标的信息。从目标上收集的信息越多,就越可能在后续阶段取得成就。工具方法: HTTrack:网站复制机; Google指令,百度指令-搜索实践; Whois; 从DNS中提取信息; 从电子邮件服务器中提取信息; 社会工程学;扫描使用各种工具扫描开放端口,获取网络和系统特征。这个阶段的目标是确定运行在目标主机上的操作系统和服务,包括漏洞扫描。工具和方法: ping Nessus Nmap 漏洞利用扫描目标网络的弱点和系统漏洞后,试图利用这些弱点和漏洞,当成功后,就获得了权限。工具和方法: Metasploit John the Ripper Nikto维持访问获得了网络和系统权限后,需要安装后门维持长久的访问并擦除日志记录等证据。工具和方法: Netcat Netbus rootkit渗透测试报告渗透测试报告,将发现的漏洞、漏洞利用以及缓解办法向用户解释清楚。是用户从渗透测试者和渗透测试过程中得到的唯一明显证据。包含内容: 综
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 苏教版分数的拓展练习
- 马克思主义的诞生背景与影响
- 2024年中空纤维分离膜项目建议书
- 六年级北师大数学教学方案设计
- 经典文学新视角离骚拼音版人教版
- 苏教版五年级数学教学计划详解
- 北师大附属实验初一化学期中考试化学应用案例
- 科学感觉的奥秘苏教版五年级下册探索之旅
- 将进酒人教版高二选修教学设计案例
- 探索物体世界二年级苏教版观察课程
- 第5.3课《联系生活实际弘扬工匠精神》(课件)-【中职专用】高二语文同步课件(高教版2023·职业模块)
- 核心素养目标二年级上册道德与法治全册教案教学设计
- 幼儿园大班科学活动《奇妙的盐水》
- 旅游行业业态分析
- 供销系统农资安全保供应急预案
- 中国移动:集团客户经理工作效能提升培训
- 中石油反恐风险评估报告
- 培养德智体美劳全面发展的建设者和接班人心得体会范文
- 王希孟与千里江山图
- 防雷防电安全教育知识大全
- 基于单片机AT89S52的水温控制系统
评论
0/150
提交评论