信息安全渗透测试(shì)
渗(shèn)透测试:是为了证明网络防御按照预期计划正常(cháng)运行而提供(gòng)的一种机制。不妨(fáng)假设(shè),你的公司定期更新安全策略和程序,时时(shí)给(gěi)系统打补丁,并(bìng)采用了漏洞扫描器(qì)等工具(jù),以确保所有补(bǔ)丁都已打上。如(rú)果你早已做到了这些,为(wéi)什么还(hái)要请外(wài)方进行(háng)审查或(huò)渗透测(cè)试呢?因为(wéi),渗透测试(shì)能够独(dú)立地检(jiǎn)查你的网(wǎng)络策略,换句话说,就是给你的系统安了一双眼睛(jīng)。而(ér)且(qiě),进行这(zhè)类测试的,都是寻找网络系统安全漏洞(dòng)的专业人士。
服(fú)务简介
渗透测试:是为了证明网络(luò)防御按照预期计划正常(cháng)运行而提供的一种机制。不妨假设,你的(de)公司定期更新(xīn)安全策略和程序,时时给系统打补丁,并采(cǎi)用了漏洞扫描器等工具(jù),以确保所有补丁都已打上。如果你早(zǎo)已(yǐ)做到了(le)这些,为什(shí)么还要(yào)请外方(fāng)进行审查或(huò)渗透测试呢(ne)?因为,渗透测试能(néng)够独立地检查你的(de)网络策(cè)略,换句话说,就是给你的系统安了一双眼(yǎn)睛。而(ér)且,进行这类测试(shì)的,都是寻找网络系统(tǒng)安全漏(lòu)洞的专(zhuān)业人士。
渗透测(cè)试流程:
1.前期交互(hù)阶段(duàn)、情报(bào)搜集阶段、威胁建模阶段、漏洞分(fèn)析阶段、
2.渗透攻击阶段(Exploitation)、后渗透攻(gōng)击阶段(怎么(me)一(yī)直控制,维(wéi)持访问)、报告阶段。
3.攻击前:网络(luò)踩点(diǎn)、网络扫描、网络(luò)查点
4.攻击(jī)中:利用漏洞信息进行渗透(tòu)攻击、获取权限
5.攻击后:后(hòu)渗透维持攻击、文件拷贝、木马植入、痕迹(jì)擦除(chú)
1、黑箱测试
黑箱测试又(yòu)被称为所(suǒ)谓的(de)“Zero-Knowledge Testing”,渗透者完(wán)全处(chù)于对系统一无所知的状(zhuàng)态,通(tōng)常(cháng)这类型测试,最初的信息获取来自(zì)于DNS、Web、Email及各种公开对外的服务器。
2、白(bái)盒测试
白(bái)盒测试与黑箱测试(shì)恰恰相(xiàng)反,测(cè)试者可以通过正常渠道向被测单位取(qǔ)得各种(zhǒng)资料,包括网络拓扑、员工资料甚(shèn)至网站或其它程序的代码(mǎ)片断,也能(néng)够(gòu)与单位的其(qí)它员工(销售、程序员(yuán)、管(guǎn)理者……)进行面对面的沟通。这类测试的目的是模拟企业(yè)内部雇员的越权操作。
3、隐秘测试
1、主机(jī)操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统(tǒng)本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进行渗透测试。
3、应(yīng)用(yòng)系统渗透
对渗透目标(biāo)提(tí)供的各种应用(yòng),如ASP、CGI、JSP、PHP等组成的WWW应(yīng)用进(jìn)行渗透测试(shì)。
4、网络(luò)设(shè)备(bèi)渗透
对各(gè)种防火墙、入侵检测系统、网络设备进(jìn)行渗透测试。
渗透测(cè)试流程:
1.前期交互(hù)阶段(duàn)、情报(bào)搜集阶段、威胁建模阶段、漏洞分(fèn)析阶段、
2.渗透攻击阶段(Exploitation)、后渗透攻(gōng)击阶段(怎么(me)一(yī)直控制,维(wéi)持访问)、报告阶段。
3.攻击前:网络(luò)踩点(diǎn)、网络扫描、网络(luò)查点
4.攻击(jī)中:利用漏洞信息进行渗透(tòu)攻击、获取权限
5.攻击后:后(hòu)渗透维持攻击、文件拷贝、木马植入、痕迹(jì)擦除(chú)
渗透测试分类:
1、黑箱测试
黑箱测试又(yòu)被称为所(suǒ)谓的(de)“Zero-Knowledge Testing”,渗透者完(wán)全处(chù)于对系统一无所知的状(zhuàng)态,通(tōng)常(cháng)这类型测试,最初的信息获取来自(zì)于DNS、Web、Email及各种公开对外的服务器。
2、白(bái)盒测试
白(bái)盒测试与黑箱测试(shì)恰恰相(xiàng)反,测(cè)试者可以通过正常渠道向被测单位取(qǔ)得各种(zhǒng)资料,包括网络拓扑、员工资料甚(shèn)至网站或其它程序的代码(mǎ)片断,也能(néng)够(gòu)与单位的其(qí)它员工(销售、程序员(yuán)、管(guǎn)理者……)进行面对面的沟通。这类测试的目的是模拟企业(yè)内部雇员的越权操作。
3、隐秘测试
隐秘(mì)测试是对被测单位而言(yán)的,通常情况下,接受(shòu)渗透测试的单位网络(luò)管理(lǐ)部(bù)门会(huì)收到通知:在某些时段进行测(cè)试。因此能够监测网络(luò)中出现的(de)变化。但隐秘测(cè)试则(zé)被测单位(wèi)也仅有极少数人知晓测试的存在,因此能够有效地检验(yàn)单位中的信息安全(quán)事件监(jiān)控、响应、恢复做得是否到位。
1、主机(jī)操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统(tǒng)本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进行渗透测试。
3、应(yīng)用(yòng)系统渗透
对渗透目标(biāo)提(tí)供的各种应用(yòng),如ASP、CGI、JSP、PHP等组成的WWW应(yīng)用进(jìn)行渗透测试(shì)。
4、网络(luò)设(shè)备(bèi)渗透
对各(gè)种防火墙、入侵检测系统、网络设备进(jìn)行渗透测试。
服务优势
.png)
安全高效
.png)
技术先进
服(fú)务到位
方案灵活
