渗透测试介绍_第1页
渗透测试介绍_第2页
渗透测试介绍_第3页
渗透测试介绍_第4页
渗透测试介绍_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、渗透测试介绍2015年4月什么是渗透测试?渗透测试是一种合法的,经过授权的,定位某企业网络及应用系统,并对其成功实施漏洞扫描或攻击,找出企业网络和系统的安全薄弱环节。渗透测试的目的?使受测企业的网络和应用系统更加安全。黑客行为不合法的,未经授权的,探测和攻击破坏。渗透测试和漏洞评估的区别漏洞评估:检查系统和服务是否存在潜在安全问题的过程渗透测试:通过执行漏洞利用和提供渗透测试报告来证明系统确实存在安全隐患。能够模拟黑客行为并提供攻击载荷(payload),比漏洞评估更进一步。渗透测试范围获得授权后,渗透测试人员和被审计公司必须协商测试范围。该范围要包括一些明确信息,诸如对哪些资源和系统进行测试

2、。在该范围中,要对渗透测试者有权进行测试的目标给出明确的限定。例如不允许使用拒绝服务(DDOS)攻击,不允许安装木马病毒等等。渗透测试类型黑箱测试:渗透测试人员不了解受测公司的任何情况,拿到手的仅仅为受测公司的web网站的地址或IP地址。白箱测试:渗透测试人员得到了受测公司的一张完整网络拓扑图或操作系统和应用列表。灰箱测试:测试人员模拟内部员工,得到一个内部账户,用于评估来自企业内部的攻击。渗透测试步骤侦查,信息收集扫描,端口扫描,漏洞扫描漏洞利用,进入系统,获得权限维持访问,后门,擦除证据编写渗透测试报告侦查,信息收集侦查,信息收集维持访问维持访问扫描扫描漏洞利用漏洞利用渗透测试报告渗透测试

3、报告侦查任何渗透测试方法的第一步都是侦查。这个阶段负责收集目标的信息。从目标上收集的信息越多,就越可能在后续阶段取得成就。工具方法: HTTrack:网站复制机; Google指令,百度指令-搜索实践; Whois; 从DNS中提取信息; 从电子邮件服务器中提取信息; 社会工程学;扫描使用各种工具扫描开放端口,获取网络和系统特征。这个阶段的目标是确定运行在目标主机上的操作系统和服务,包括漏洞扫描。工具和方法: ping Nessus Nmap 漏洞利用扫描目标网络的弱点和系统漏洞后,试图利用这些弱点和漏洞,当成功后,就获得了权限。工具和方法: Metasploit John the Ripper Nikto维持访问获得了网络和系统权限后,需要安装后门维持长久的访问并擦除日志记录等证据。工具和方法: Netcat Netbus rootkit渗透测试报告渗透测试报告,将发现的漏洞、漏洞利用以及缓解办法向用户解释清楚。是用户从渗透测试者和渗透测试过程中得到的唯一明显证据。包含内容: 综

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论