软件安全渗透测试概述课件_第1页
软件安全渗透测试概述课件_第2页
软件安全渗透测试概述课件_第3页
软件安全渗透测试概述课件_第4页
软件安全渗透测试概述课件_第5页
已阅读5页,还剩10页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 软件安全渗透测试概述第1页,共15页。概念渗透测试是由受信任的第三方进行的一种评估网络安全的活动,它是一个通过各种手段攻击企业网络以找出存在于系统中的漏洞,进而给出存在于企业网络中的风险的过程。通过模拟现实的网络攻击,渗透测试证实了恶意攻击者有可能获取或破坏企业的数据资产。8.1.1 渗透测试的概念第2页,共15页。黑客(Hacker)黑客这个术语的现代意义,起源于1960年的麻省理工学院技术模型铁路俱乐部。这个俱乐部设计比例较大、细节逼真的火车模型,而“黑客”被用来称呼那些发现了聪明技巧的俱乐部成员。渗透测试人员是一个有道德的黑客,他被雇佣来寻找公司网络的漏洞,以便评估数据安全特性。攻入网

2、络的道德黑客小组被称为老虎队。老虎队是一组程序员或用户,他们自愿或被雇佣来发现新开发的软件或网络系统中的错误和安全漏洞,或者弄清原有计算机网络的安全被瓦解的原因。 删掉后面的“老虎部队”的内容,与本书无关,掩盖摘抄痕迹。8.1.1 渗透测试的概念第3页,共15页。渗透测试人员有道德的黑客;雇佣来寻找公司网络的漏洞,以便评估数据安全特性;一组程序员或用户;8.1.1 渗透测试的概念第4页,共15页。渗透测试类型黑盒测试黑盒测试:渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。重新给出“黑盒测试”定义,参考:白盒测试测试者可

3、以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、程序员、管理者)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。灰盒测试也称作隐秘测试。它的“隐蔽”性是对被测单位而言的。通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。8.1.1 渗透测试的概念第5页,共15页。渗透测试的对象漏洞:能够用来破坏安全策略的弱点、设计或实现错误。威胁:能够引起破坏的潜在安全侵害。破坏三方面特性:机密性、完整性、可用性。8.1.1 渗透测试的概念第6页,共15页。渗透测试项目步

4、骤8.1.1 渗透测试的概念第7页,共15页。渗透测试阶段8.1.2 渗透测试阶段划分第8页,共15页。8.2 渗透测试执行过程第9页,共15页。各阶段的具体工作内容侦察收集目标网络信息的最初阶段扫描查询活动系统,从而抓取网络共享、用户及特定应用程序信息的过程获取访问实施渗透过程维持访问测试者将后门程序放入到被利用系统中,以便未来使用擦除证据删除日志文件项、擦除进入系统痕迹的过程8.2.1 渗透测试各阶段的具体工作内容第10页,共15页。渗透测试执行的内容时间选择为减轻渗透测试对网络和主机的影响,渗透测试时间尽量安排在业务量不大的时段或晚上。策略选择为防止渗透测试造成网络和主机的业务中断,在渗

5、透测试中不使用含有拒绝服务的测试策略。授权渗透测试的监测手段在评估过程中,由于渗透测试的特殊性,用户可以要求对整体测试流程进行监控。8.2.2 渗透测试的执行第11页,共15页。渗透测试执行的内容(续)测试方自控由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操作、响应、分析,最终形成完整有效的渗透测试报告提交给用户。用户监控全程监控、择要监控、主机监控、指定攻击源。保守策略选择保守策略选择:对于不能接受任何可能风险的主机系统,如银行票据核查系统,电力调度系统等,可选择如下保守策略:复制一份目标环境,包括硬件平台,操作系统,数据库管理系统,应用软件等。 对目标的副本进行渗透测试8.2.2 渗透测试的执行第12页,共15页。意义及要点一份有价值的渗透测试报告,能够帮助IT管理者迅速定位组织中的薄弱环节,用最少的代价规避可能遇到的风险。渗透测试报告重在精确、简洁。8.2.3 编写渗透测试报告第13页,共15页。必要性协助用户发现组织中的安全最短板,协助企业有效的了解目前降低风险的初始任务;一份文档齐全有效的渗透测试报告有助于组织的IT管理者明目前安全现状,从而增强安全的认知程度,甚至提高组织在安全方面的预算; 渗

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论