|
您知道渗透测试吗?对渗透测试了解多少呢?如果不了解没关系,今天小编特为大家整理了一篇有关“渗透测试”相关内容的文章,我们一起来揭开渗透测试的神秘面纱吧。 渗透测试的起源与定义 20世纪90年代,美国军方与国家安全局将军事演习中的蓝军和红军攻防体系引入信息安全领域,信息网络与信息安全基础设施的攻防测试领域慢慢发展起来。渗透测试就是一种模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。 渗透测试三种分类 ①黑盒测试:渗透测试人员只知道要测试的目标系统具体是哪个系统,但系统内部的任何信息都不知道。渗透测试人员就像是站在一个漆黑的房间里,什么都看不见,只有找到漏洞才能出去,该去哪里找呢?完全不知道,只能一点点的探索。 ②白盒测试:渗透测试人员事先知道目标系统的详细信息,在这种情况下做渗透测试,渗透测试人员大多就是根据经验或者标准操作流程,将可能出现问题的点挨个去筛选一遍。 ③灰盒测试:白+黑就是灰色,灰盒测试是介于上述两种测试之间的一种方法,对目标系统有所一定的了解,还掌握了一定的信息,可是并不全面。渗透测试人员得持续性的搜集信息,并结合已知信息从中将漏洞找出。 渗透测试是否等同于风险评估? 不是,你可以暂时理解成渗透测试属于风险评估的一部分。事实上,风险评估远比渗透测试复杂的多,它除渗透测试外还要加上资产识别、风险分析,除此之外,也还包含了人工审查以及后期的优化部分。 已经进行了安全审查,还需要渗透测试吗? 当然,渗透测试是不可缺少的环节之一,是必须要做的。 渗透测试流程 ①前期交互阶段 ②情报搜集阶段 ③威胁建模阶段 ④漏洞分析阶段 ⑤渗透攻击阶段 ⑥后渗透攻击阶段 ⑦报告阶段 |
|
|
