售前電話
135-3656-7657
售前電話 : 135-3656-7657
什么是滲透測(cè)試
滲透測(cè)試,英文全稱叫penetration test。是對(duì)您的計(jì)算機(jī)系統(tǒng)的模擬網(wǎng)絡(luò)攻擊,以檢查可利用的漏洞。在 Web 應(yīng)用程序安全的上下文中,滲透測(cè)試通常用于增強(qiáng)Web 應(yīng)用程序防火墻 (WAF)。
滲透測(cè)試可能涉及嘗試破壞任意數(shù)量的應(yīng)用程序系統(tǒng)(例如,應(yīng)用程序協(xié)議接口 (API)、前端/后端服務(wù)器)以發(fā)現(xiàn)漏洞,例如容易受到代碼注入攻擊的未清理輸入。
滲透測(cè)試提供的見解可用于微調(diào) WAF 安全策略并修補(bǔ)檢測(cè)到的漏洞。 滲透測(cè)試的工作原理 如何執(zhí)行滲透測(cè)試 滲透測(cè)試對(duì)網(wǎng)絡(luò)的安全性提出了挑戰(zhàn)。鑒于企業(yè)網(wǎng)絡(luò)的價(jià)值,企業(yè)在進(jìn)行滲透測(cè)試之前必須咨詢專家。專家可以確保測(cè)試不會(huì)損壞網(wǎng)絡(luò),還可以更好地了解漏洞。滲透測(cè)試專家可以在測(cè)試之前、期間和之后幫助企業(yè)獲得有用和有益的結(jié)果。 滲透測(cè)試與漏洞評(píng)估相同嗎? 滲透測(cè)試和漏洞評(píng)估是不一樣的。漏洞評(píng)估主要是對(duì)安全性的掃描和評(píng)估。但是滲透測(cè)試模擬網(wǎng)絡(luò)攻擊并利用發(fā)現(xiàn)的漏洞。 滲透測(cè)試會(huì)破壞我的網(wǎng)絡(luò)嗎? 網(wǎng)絡(luò)完整性是考慮滲透測(cè)試的企業(yè)的首要關(guān)注點(diǎn)。負(fù)責(zé)任的滲透測(cè)試團(tuán)隊(duì)將采取多種安全措施來限制對(duì)網(wǎng)絡(luò)的任何影響。在滲透測(cè)試之前,企業(yè)與測(cè)試人員一起創(chuàng)建兩個(gè)列表:排除的活動(dòng)列表和排除的設(shè)備列表。排除的活動(dòng)可能包括拒絕服務(wù) (DoS) 攻擊等策略。DoS 攻擊可以完全摧毀網(wǎng)絡(luò),因此企業(yè)可能希望保證不會(huì)在滲透測(cè)試中完成。 什么是道德黑客? 道德黑客是商業(yè)環(huán)境中滲透測(cè)試的同義詞。基本上,在滲透測(cè)試中,組織在道德上被黑客入侵以發(fā)現(xiàn)安全問題。有些人將流氓個(gè)人出于政治原因的黑客行為稱為道德黑客或黑客行動(dòng)主義。但任何未經(jīng)授權(quán)的黑客攻擊都是惡意和非法的。滲透測(cè)試包括企業(yè)和測(cè)試人員之間的同意。 滲透測(cè)試階段 滲透測(cè)試過程可以分為五個(gè)階段。 1. 計(jì)劃和偵察 第一階段涉及:外部測(cè)試 外部滲透測(cè)試針對(duì)在互聯(lián)網(wǎng)上可見的公司資產(chǎn),例如 Web 應(yīng)用程序本身、公司網(wǎng)站以及電子郵件和域名服務(wù)器 (DNS)。目標(biāo)是獲得訪問權(quán)限并提取有價(jià)值的數(shù)據(jù)。 內(nèi)部測(cè)試 在內(nèi)部測(cè)試中,有權(quán)訪問其防火墻后面的應(yīng)用程序的測(cè)試人員模擬惡意內(nèi)部人員的攻擊。這不一定是模擬流氓員工。常見的起始方案可能是其憑據(jù)因網(wǎng)絡(luò)釣魚攻擊而被盜的員工。 盲測(cè) 在盲測(cè)中,測(cè)試人員僅獲得目標(biāo)企業(yè)的名稱。這使安全人員能夠?qū)崟r(shí)了解實(shí)際應(yīng)用程序攻擊的發(fā)生方式。 雙盲測(cè)試 在雙盲測(cè)試中,安全人員事先不了解模擬攻擊。就像在現(xiàn)實(shí)世界中一樣,在試圖突破之前,他們沒有任何時(shí)間加強(qiáng)防御。 針對(duì)性檢測(cè) 在這種情況下,測(cè)試人員和安全人員一起工作,并相互評(píng)估他們的動(dòng)作。這是一項(xiàng)有價(jià)值的培訓(xùn)練習(xí),可從黑客的角度為安全團(tuán)隊(duì)提供實(shí)時(shí)反饋。 滲透測(cè)試和 Web 應(yīng)用程序防火墻 滲透測(cè)試和 WAF 是排他性但互惠互利的安全措施。對(duì)于多種滲透測(cè)試(盲測(cè)試和雙盲測(cè)試除外),測(cè)試人員可能會(huì)使用 WAF 數(shù)據(jù)(如日志)來定位和利用應(yīng)用程序的弱點(diǎn)。