信息(xī)安全渗透测试
渗透测(cè)试(shì):是为了证(zhèng)明网络(luò)防御按(àn)照预期计(jì)划正常运(yùn)行而提(tí)供的一种机制。不妨假设,你的公司定期更新安全(quán)策(cè)略和程序,时(shí)时给系统打补丁,并采用了漏洞扫(sǎo)描器等工具,以确(què)保所有(yǒu)补丁(dīng)都已打上(shàng)。如果(guǒ)你早已做(zuò)到了(le)这些,为(wéi)什么还(hái)要请外(wài)方进行审查或渗透测试呢?因为,渗(shèn)透测试能(néng)够独立地(dì)检查你的网络策略,换(huàn)句话说,就是给你的系统(tǒng)安了一(yī)双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士(shì)。
服务简(jiǎn)介
渗透测试:是为(wéi)了证(zhèng)明网络(luò)防御按照预期计划正常运(yùn)行而提供的一种(zhǒng)机制。不妨假设,你的公司定期(qī)更新(xīn)安(ān)全策略和(hé)程序,时时给(gěi)系统(tǒng)打补(bǔ)丁(dīng),并采用了漏洞扫描器等工具,以(yǐ)确(què)保所有补丁都已打(dǎ)上(shàng)。如(rú)果你早已做(zuò)到了这些,为什么还要请外方进行(háng)审查或渗透(tòu)测(cè)试(shì)呢(ne)?因(yīn)为(wéi),渗透(tòu)测试能够独立地检查你的网络(luò)策略,换句(jù)话说,就是给(gěi)你的系统安了(le)一双(shuāng)眼睛。而且,进行(háng)这类测试的(de),都是(shì)寻找网络系统安全漏洞的专(zhuān)业人士。
渗透测试流程(chéng):
1.前期交互阶段、情报搜集阶段(duàn)、威胁建模阶段、漏洞(dòng)分析阶段(duàn)、
2.渗透攻击阶段(Exploitation)、后渗透攻(gōng)击阶(jiē)段(怎(zěn)么(me)一直控制,维持(chí)访问)、报告(gào)阶(jiē)段。
3.攻击前:网络踩点、网络扫描、网(wǎng)络查点
4.攻击中:利用(yòng)漏洞(dòng)信息进(jìn)行渗透攻(gōng)击、获取权限(xiàn)
5.攻(gōng)击后:后渗透维持(chí)攻击、文件拷(kǎo)贝、木马植入(rù)、痕迹擦除
1、黑箱测试(shì)
黑箱测试(shì)又被称为所谓的“Zero-Knowledge Testing”,渗(shèn)透者完全(quán)处(chù)于对系(xì)统一无(wú)所知的状态,通常这类(lèi)型(xíng)测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的(de)服务器。
2、白盒测(cè)试
白盒测试与黑箱(xiāng)测试恰恰相反,测试者可以通过正常渠道向被(bèi)测(cè)单位取得各种资料(liào),包括网络拓扑(pū)、员工资料(liào)甚至(zhì)网站或其它程序的代码片断,也能够与单(dān)位的其它员工(销售、程(chéng)序员(yuán)、管理者……)进行面(miàn)对面的沟通(tōng)。这类测试(shì)的目(mù)的是模拟企业内部雇员的(de)越权操作。
3、隐秘(mì)测试
1、主机(jī)操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
2、数据库系统渗透(tòu)
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数(shù)据(jù)库应用系统进行(háng)渗透测试。
3、应用系统渗透
对渗透(tòu)目(mù)标提(tí)供的各种应用(yòng),如ASP、CGI、JSP、PHP等组成的WWW应(yīng)用进行渗(shèn)透测试。
4、网络设备(bèi)渗透(tòu)
对各种防(fáng)火(huǒ)墙、入侵检测系统、网络设备进行渗透测试。
渗透测试流程(chéng):
1.前期交互阶段、情报搜集阶段(duàn)、威胁建模阶段、漏洞(dòng)分析阶段(duàn)、
2.渗透攻击阶段(Exploitation)、后渗透攻(gōng)击阶(jiē)段(怎(zěn)么(me)一直控制,维持(chí)访问)、报告(gào)阶(jiē)段。
3.攻击前:网络踩点、网络扫描、网(wǎng)络查点
4.攻击中:利用(yòng)漏洞(dòng)信息进(jìn)行渗透攻(gōng)击、获取权限(xiàn)
5.攻(gōng)击后:后渗透维持(chí)攻击、文件拷(kǎo)贝、木马植入(rù)、痕迹擦除
渗(shèn)透测试分类:
1、黑箱测试(shì)
黑箱测试(shì)又被称为所谓的“Zero-Knowledge Testing”,渗(shèn)透者完全(quán)处(chù)于对系(xì)统一无(wú)所知的状态,通常这类(lèi)型(xíng)测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的(de)服务器。
2、白盒测(cè)试
白盒测试与黑箱(xiāng)测试恰恰相反,测试者可以通过正常渠道向被(bèi)测(cè)单位取得各种资料(liào),包括网络拓扑(pū)、员工资料(liào)甚至(zhì)网站或其它程序的代码片断,也能够与单(dān)位的其它员工(销售、程(chéng)序员(yuán)、管理者……)进行面(miàn)对面的沟通(tōng)。这类测试(shì)的目(mù)的是模拟企业内部雇员的(de)越权操作。
3、隐秘(mì)测试
隐秘(mì)测(cè)试是对被测单(dān)位而言的,通常情(qíng)况下,接受渗透测(cè)试的单位(wèi)网络管理部门会收到(dào)通知:在某些(xiē)时段进行测试。因(yīn)此能够监测网络中(zhōng)出(chū)现的(de)变化。但(dàn)隐秘测(cè)试则被测单位也仅有极少数人知晓测试的(de)存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是(shì)否到位。
1、主机(jī)操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
2、数据库系统渗透(tòu)
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数(shù)据(jù)库应用系统进行(háng)渗透测试。
3、应用系统渗透
对渗透(tòu)目(mù)标提(tí)供的各种应用(yòng),如ASP、CGI、JSP、PHP等组成的WWW应(yīng)用进行渗(shèn)透测试。
4、网络设备(bèi)渗透(tòu)
对各种防(fáng)火(huǒ)墙、入侵检测系统、网络设备进行渗透测试。
服务(wù)优势
.png)
安全高效
进.png)
技术先进
服务到(dào)位
灵活.png)
方(fāng)案灵活(huó)
