信息安全渗透测试
渗透测(cè)试:是为了证明网(wǎng)络(luò)防御按照预期计划正(zhèng)常(cháng)运行而提供的一种(zhǒng)机制。不妨假(jiǎ)设,你的公(gōng)司(sī)定(dìng)期更新(xīn)安全(quán)策略和程序,时时给系统打补丁,并(bìng)采(cǎi)用了漏(lòu)洞扫描器等工具(jù),以确保所有补丁都已打上(shàng)。如果你早(zǎo)已做到(dào)了(le)这些,为什么还要请外方进行审查或渗(shèn)透测试呢?因为,渗透测试能够独立地检查你(nǐ)的网络策略(luè),换句话说(shuō),就(jiù)是给你的系统安了一(yī)双眼睛。而且,进行这类测试的(de),都是寻(xún)找(zhǎo)网络系(xì)统安全漏洞的专业人士(shì)。
服务(wù)简介
渗透测(cè)试(shì):是为(wéi)了证明网络防御按照预期计划正常(cháng)运行而提供的一种机制。不妨假设,你(nǐ)的公司(sī)定期更新安全策略和程序,时时给(gěi)系(xì)统打补丁(dīng),并采用了(le)漏洞扫描器等工具,以确保所有补丁都已打上。如(rú)果(guǒ)你早已(yǐ)做到了这些,为什么还要请外(wài)方进行审(shěn)查或渗透测(cè)试呢?因为,渗透(tòu)测试能够独立(lì)地检查你的网络(luò)策略,换(huàn)句话说,就是给你的系统安了(le)一(yī)双眼(yǎn)睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专(zhuān)业人士(shì)。
渗透测试流程(chéng):
1.前期交(jiāo)互阶段、情(qíng)报搜(sōu)集阶段、威胁建(jiàn)模阶段、漏洞分析阶段、
2.渗透攻击阶段(Exploitation)、后渗透攻(gōng)击阶段(怎么一直控制,维(wéi)持访(fǎng)问(wèn))、报告阶段。
3.攻击前(qián):网(wǎng)络踩点、网络(luò)扫描、网络查点
4.攻击中:利(lì)用漏(lòu)洞信息进(jìn)行渗透攻击、获取权限
5.攻击后:后(hòu)渗透维持攻击、文件拷贝、木马植入、痕(hén)迹擦除
1、黑箱测试
黑箱测(cè)试又被称为所谓的(de)“Zero-Knowledge Testing”,渗透(tòu)者完(wán)全处于对系统一无所知的状态,通常这(zhè)类(lèi)型测试,最初的信息获取来自于(yú)DNS、Web、Email及各种公开对外(wài)的服务(wù)器。
2、白盒测(cè)试
白盒测试与(yǔ)黑箱测试恰恰(qià)相(xiàng)反,测试者可以通(tōng)过(guò)正常渠(qú)道向被测单位(wèi)取(qǔ)得各种资料,包括(kuò)网络(luò)拓扑、员工资料甚至网站或其(qí)它(tā)程(chéng)序的代码片(piàn)断,也能够与(yǔ)单位(wèi)的(de)其它员工(销售、程序员、管理者……)进行面对面的沟通(tōng)。这类测(cè)试(shì)的目(mù)的是(shì)模(mó)拟企业(yè)内部雇员(yuán)的越权操(cāo)作。
3、隐秘测试(shì)
1、主机操作系统渗透
对(duì)Windows、Solaris、AIX、Linux、SCO、SGI等操作系(xì)统本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进行渗(shèn)透测试。
3、应(yīng)用系(xì)统渗透(tòu)
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试(shì)。
4、网络(luò)设备渗透
对各种防火墙、入侵检测(cè)系统、网络设(shè)备进(jìn)行(háng)渗透测试。
渗透测试流程(chéng):
1.前期交(jiāo)互阶段、情(qíng)报搜(sōu)集阶段、威胁建(jiàn)模阶段、漏洞分析阶段、
2.渗透攻击阶段(Exploitation)、后渗透攻(gōng)击阶段(怎么一直控制,维(wéi)持访(fǎng)问(wèn))、报告阶段。
3.攻击前(qián):网(wǎng)络踩点、网络(luò)扫描、网络查点
4.攻击中:利(lì)用漏(lòu)洞信息进(jìn)行渗透攻击、获取权限
5.攻击后:后(hòu)渗透维持攻击、文件拷贝、木马植入、痕(hén)迹擦除
渗透测试分类:
1、黑箱测试
黑箱测(cè)试又被称为所谓的(de)“Zero-Knowledge Testing”,渗透(tòu)者完(wán)全处于对系统一无所知的状态,通常这(zhè)类(lèi)型测试,最初的信息获取来自于(yú)DNS、Web、Email及各种公开对外(wài)的服务(wù)器。
2、白盒测(cè)试
白盒测试与(yǔ)黑箱测试恰恰(qià)相(xiàng)反,测试者可以通(tōng)过(guò)正常渠(qú)道向被测单位(wèi)取(qǔ)得各种资料,包括(kuò)网络(luò)拓扑、员工资料甚至网站或其(qí)它(tā)程(chéng)序的代码片(piàn)断,也能够与(yǔ)单位(wèi)的(de)其它员工(销售、程序员、管理者……)进行面对面的沟通(tōng)。这类测(cè)试(shì)的目(mù)的是(shì)模(mó)拟企业(yè)内部雇员(yuán)的越权操(cāo)作。
3、隐秘测试(shì)
隐秘测(cè)试是对被测单位而言的,通常情况下,接(jiē)受渗透测试的单(dān)位网络管理部门会收到通知:在某些时(shí)段(duàn)进行测试。因此能(néng)够监测网络(luò)中出现(xiàn)的变化。但隐秘测试则被测单位(wèi)也仅(jǐn)有(yǒu)极少(shǎo)数人知晓测试的存(cún)在,因此能够有效(xiào)地检验单位中的(de)信(xìn)息安全事件监控、响(xiǎng)应、恢复(fù)做得是否到位。
1、主机操作系统渗透
对(duì)Windows、Solaris、AIX、Linux、SCO、SGI等操作系(xì)统本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进行渗(shèn)透测试。
3、应(yīng)用系(xì)统渗透(tòu)
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试(shì)。
4、网络(luò)设备渗透
对各种防火墙、入侵检测(cè)系统、网络设(shè)备进(jìn)行(háng)渗透测试。
服(fú)务优势
安全高效
技术(shù)先进
位.png)
服务到位
案灵活.png)
方案灵(líng)活
