在线永久免费观看丝袜黄网站-凹凸国产熟女精品视频国语-日韩亚洲午夜精品一区二区三区-日韩欧美国产另类一区二区

新聞資訊

醫(yī)院排隊(duì)叫號(hào)分診系統(tǒng)廠家-滲透測(cè)試

2023-10-20 12:28

什么是滲透測(cè)試 滲透測(cè)試,英文全稱叫penetration test。是對(duì)您的計(jì)算機(jī)系統(tǒng)的模擬網(wǎng)絡(luò)攻擊,以檢查可利用的漏洞。在 Web 應(yīng)用程序安全的上下文中,滲透測(cè)試通常用于增強(qiáng)Web 應(yīng)用程序防火墻 (WAF)。

滲透測(cè)試可能涉及嘗試破壞任意數(shù)量的應(yīng)用程序系統(tǒng)(例如,應(yīng)用程序協(xié)議接口 (API)、前端/后端服務(wù)器)以發(fā)現(xiàn)漏洞,例如容易受到代碼注入攻擊的未清理輸入。

滲透測(cè)試提供的見解可用于微調(diào) WAF 安全策略并修補(bǔ)檢測(cè)到的漏洞。 滲透測(cè)試的工作原理 如何執(zhí)行滲透測(cè)試 滲透測(cè)試對(duì)網(wǎng)絡(luò)的安全性提出了挑戰(zhàn)。鑒于企業(yè)網(wǎng)絡(luò)的價(jià)值,企業(yè)在進(jìn)行滲透測(cè)試之前必須咨詢專家。專家可以確保測(cè)試不會(huì)損壞網(wǎng)絡(luò),還可以更好地了解漏洞。滲透測(cè)試專家可以在測(cè)試之前、期間和之后幫助企業(yè)獲得有用和有益的結(jié)果。 滲透測(cè)試與漏洞評(píng)估相同嗎? 滲透測(cè)試和漏洞評(píng)估是不一樣的。漏洞評(píng)估主要是對(duì)安全性的掃描和評(píng)估。但是滲透測(cè)試模擬網(wǎng)絡(luò)攻擊并利用發(fā)現(xiàn)的漏洞。 滲透測(cè)試會(huì)破壞我的網(wǎng)絡(luò)嗎? 網(wǎng)絡(luò)完整性是考慮滲透測(cè)試的企業(yè)的首要關(guān)注點(diǎn)。負(fù)責(zé)任的滲透測(cè)試團(tuán)隊(duì)將采取多種安全措施來限制對(duì)網(wǎng)絡(luò)的任何影響。在滲透測(cè)試之前,企業(yè)與測(cè)試人員一起創(chuàng)建兩個(gè)列表:排除的活動(dòng)列表和排除的設(shè)備列表。排除的活動(dòng)可能包括拒絕服務(wù) (DoS) 攻擊等策略。DoS 攻擊可以完全摧毀網(wǎng)絡(luò),因此企業(yè)可能希望保證不會(huì)在滲透測(cè)試中完成。 什么是道德黑客? 道德黑客是商業(yè)環(huán)境中滲透測(cè)試的同義詞。基本上,在滲透測(cè)試中,組織在道德上被黑客入侵以發(fā)現(xiàn)安全問題。有些人將流氓個(gè)人出于政治原因的黑客行為稱為道德黑客或黑客行動(dòng)主義。但任何未經(jīng)授權(quán)的黑客攻擊都是惡意和非法的。滲透測(cè)試包括企業(yè)和測(cè)試人員之間的同意。 滲透測(cè)試階段 滲透測(cè)試過程可以分為五個(gè)階段。 1. 計(jì)劃和偵察 第一階段涉及:
定義測(cè)試的范圍和目標(biāo),包括要解決的系統(tǒng)以及要使用的測(cè)試方法。
收集情報(bào)(例如,網(wǎng)絡(luò)和域名、郵件服務(wù)器),以更好地了解目標(biāo)的工作原理及其潛在漏洞。 2. 掃描 下一步是了解目標(biāo)應(yīng)用程序?qū)⑷绾雾憫?yīng)各種入侵嘗試。這通常使用以下方法完成:
  • 靜態(tài)分析 – 檢查應(yīng)用程序的代碼以估計(jì)其在運(yùn)行時(shí)的行為方式。這些工具可以在一次傳遞中掃描整個(gè)代碼。
  • 動(dòng)態(tài)分析 – 檢查處于運(yùn)行狀態(tài)的應(yīng)用程序代碼。這是一種更實(shí)用的掃描方法,因?yàn)樗峁┝藨?yīng)用程序性能的實(shí)時(shí)視圖。
  • 3. 獲取訪問權(quán)限 此階段使用 Web 應(yīng)用程序攻擊,例如跨站點(diǎn)腳本、SQL 注入和后門,來發(fā)現(xiàn)目標(biāo)的漏洞。然后,測(cè)試人員嘗試?yán)眠@些漏洞,通常通過提升權(quán)限、竊取數(shù)據(jù)、攔截流量等來了解它們可能造成的損害。 4. 維護(hù)訪問權(quán)限 此階段的目標(biāo)是查看該漏洞是否可用于在被利用的系統(tǒng)中實(shí)現(xiàn)持續(xù)存在 — 足夠長(zhǎng)的時(shí)間讓不良行為者獲得深入訪問。這個(gè)想法是模仿高級(jí)持續(xù)性威脅,這些威脅通常會(huì)在系統(tǒng)中保留數(shù)月,以竊取組織最敏感的數(shù)據(jù)。 5. 分析 然后將滲透測(cè)試的結(jié)果匯編成一份報(bào)告,詳細(xì)說明:
  • 被利用的特定漏洞
  • 訪問的敏感數(shù)據(jù)
  • 滲透測(cè)試儀能夠在系統(tǒng)中保持未被發(fā)現(xiàn)的時(shí)間量
  • 此信息由安全人員進(jìn)行分析,以幫助配置企業(yè)的 WAF 設(shè)置和其他應(yīng)用程序安全解決方案,以修補(bǔ)漏洞并防范未來的攻擊。 滲透測(cè)試方法

    外部測(cè)試 外部滲透測(cè)試針對(duì)在互聯(lián)網(wǎng)上可見的公司資產(chǎn),例如 Web 應(yīng)用程序本身、公司網(wǎng)站以及電子郵件和域名服務(wù)器 (DNS)。目標(biāo)是獲得訪問權(quán)限并提取有價(jià)值的數(shù)據(jù)。 內(nèi)部測(cè)試 在內(nèi)部測(cè)試中,有權(quán)訪問其防火墻后面的應(yīng)用程序的測(cè)試人員模擬惡意內(nèi)部人員的攻擊。這不一定是模擬流氓員工。常見的起始方案可能是其憑據(jù)因網(wǎng)絡(luò)釣魚攻擊而被盜的員工。 盲測(cè) 在盲測(cè)中,測(cè)試人員僅獲得目標(biāo)企業(yè)的名稱。這使安全人員能夠?qū)崟r(shí)了解實(shí)際應(yīng)用程序攻擊的發(fā)生方式。 雙盲測(cè)試 在雙盲測(cè)試中,安全人員事先不了解模擬攻擊。就像在現(xiàn)實(shí)世界中一樣,在試圖突破之前,他們沒有任何時(shí)間加強(qiáng)防御。 針對(duì)性檢測(cè) 在這種情況下,測(cè)試人員和安全人員一起工作,并相互評(píng)估他們的動(dòng)作。這是一項(xiàng)有價(jià)值的培訓(xùn)練習(xí),可從黑客的角度為安全團(tuán)隊(duì)提供實(shí)時(shí)反饋。 滲透測(cè)試和 Web 應(yīng)用程序防火墻 滲透測(cè)試和 WAF 是排他性但互惠互利的安全措施。對(duì)于多種滲透測(cè)試(盲測(cè)試和雙盲測(cè)試除外),測(cè)試人員可能會(huì)使用 WAF 數(shù)據(jù)(如日志)來定位和利用應(yīng)用程序的弱點(diǎn)。
    上一篇:手術(shù)室對(duì)講系統(tǒng)廠家-MPLS:詳解多協(xié)議標(biāo)簽切換
    返回
    下一篇:醫(yī)院探視系統(tǒng)廠家-什么是WiMAX