久久精品视,色综合久久无码中文字幕,日韩免费视频一区二区三区,亚洲中文久久精品无码WW16

什么是滲透測(cè)試 滲透測(cè)試，英文全稱叫penetration test。是對(duì)您的計(jì)算機(jī)系統(tǒng)的模擬網(wǎng)絡(luò)攻擊，以檢查可利用的漏洞。在 Web 應(yīng)用程序安全的上下文中，滲透測(cè)試通常用于增強(qiáng)Web 應(yīng)用程序防火墻 （WAF）。

滲透測(cè)試可能涉及嘗試破壞任意數(shù)量的應(yīng)用程序系統(tǒng)（例如，應(yīng)用程序協(xié)議接口 （API）、前端/后端服務(wù)器）以發(fā)現(xiàn)漏洞，例如容易受到代碼注入攻擊的未清理輸入。

滲透測(cè)試提供的見(jiàn)解可用于微調(diào) WAF 安全策略并修補(bǔ)檢測(cè)到的漏洞。 滲透測(cè)試的工作原理 如何執(zhí)行滲透測(cè)試 滲透測(cè)試對(duì)網(wǎng)絡(luò)的安全性提出了挑戰(zhàn)。鑒于企業(yè)網(wǎng)絡(luò)的價(jià)值，企業(yè)在進(jìn)行滲透測(cè)試之前必須咨詢專家。專家可以確保測(cè)試不會(huì)損壞網(wǎng)絡(luò)，還可以更好地了解漏洞。滲透測(cè)試專家可以在測(cè)試之前、期間和之后幫助企業(yè)獲得有用和有益的結(jié)果。 滲透測(cè)試與漏洞評(píng)估相同嗎？ 滲透測(cè)試和漏洞評(píng)估是不一樣的。漏洞評(píng)估主要是對(duì)安全性的掃描和評(píng)估。但是滲透測(cè)試模擬網(wǎng)絡(luò)攻擊并利用發(fā)現(xiàn)的漏洞。 滲透測(cè)試會(huì)破壞我的網(wǎng)絡(luò)嗎？ 網(wǎng)絡(luò)完整性是考慮滲透測(cè)試的企業(yè)的首要關(guān)注點(diǎn)。負(fù)責(zé)任的滲透測(cè)試團(tuán)隊(duì)將采取多種安全措施來(lái)限制對(duì)網(wǎng)絡(luò)的任何影響。在滲透測(cè)試之前，企業(yè)與測(cè)試人員一起創(chuàng)建兩個(gè)列表：排除的活動(dòng)列表和排除的設(shè)備列表。排除的活動(dòng)可能包括拒絕服務(wù) （DoS） 攻擊等策略。DoS 攻擊可以完全摧毀網(wǎng)絡(luò)，因此企業(yè)可能希望保證不會(huì)在滲透測(cè)試中完成。 什么是道德黑客？ 道德黑客是商業(yè)環(huán)境中滲透測(cè)試的同義詞?；旧希跐B透測(cè)試中，組織在道德上被黑客入侵以發(fā)現(xiàn)安全問(wèn)題。有些人將流氓個(gè)人出于政治原因的黑客行為稱為道德黑客或黑客行動(dòng)主義。但任何未經(jīng)授權(quán)的黑客攻擊都是惡意和非法的。滲透測(cè)試包括企業(yè)和測(cè)試人員之間的同意。 滲透測(cè)試階段 滲透測(cè)試過(guò)程可以分為五個(gè)階段。 1. 計(jì)劃和偵察 第一階段涉及：
定義測(cè)試的范圍和目標(biāo)，包括要解決的系統(tǒng)以及要使用的測(cè)試方法。
收集情報(bào)（例如，網(wǎng)絡(luò)和域名、郵件服務(wù)器），以更好地了解目標(biāo)的工作原理及其潛在漏洞。 2. 掃描 下一步是了解目標(biāo)應(yīng)用程序?qū)⑷绾雾憫?yīng)各種入侵嘗試。這通常使用以下方法完成：

靜態(tài)分析 – 檢查應(yīng)用程序的代碼以估計(jì)其在運(yùn)行時(shí)的行為方式。這些工具可以在一次傳遞中掃描整個(gè)代碼。

動(dòng)態(tài)分析 – 檢查處于運(yùn)行狀態(tài)的應(yīng)用程序代碼。這是一種更實(shí)用的掃描方法，因?yàn)樗峁┝藨?yīng)用程序性能的實(shí)時(shí)視圖。

3. 獲取訪問(wèn)權(quán)限 此階段使用 Web 應(yīng)用程序攻擊，例如跨站點(diǎn)腳本、SQL 注入和后門(mén)，來(lái)發(fā)現(xiàn)目標(biāo)的漏洞。然后，測(cè)試人員嘗試?yán)眠@些漏洞，通常通過(guò)提升權(quán)限、竊取數(shù)據(jù)、攔截流量等來(lái)了解它們可能造成的損害。 4. 維護(hù)訪問(wèn)權(quán)限 此階段的目標(biāo)是查看該漏洞是否可用于在被利用的系統(tǒng)中實(shí)現(xiàn)持續(xù)存在 — 足夠長(zhǎng)的時(shí)間讓不良行為者獲得深入訪問(wèn)。這個(gè)想法是模仿高級(jí)持續(xù)性威脅，這些威脅通常會(huì)在系統(tǒng)中保留數(shù)月，以竊取組織最敏感的數(shù)據(jù)。 5. 分析 然后將滲透測(cè)試的結(jié)果匯編成一份報(bào)告，詳細(xì)說(shuō)明：

被利用的特定漏洞

訪問(wèn)的敏感數(shù)據(jù)

滲透測(cè)試儀能夠在系統(tǒng)中保持未被發(fā)現(xiàn)的時(shí)間量

此信息由安全人員進(jìn)行分析，以幫助配置企業(yè)的 WAF 設(shè)置和其他應(yīng)用程序安全解決方案，以修補(bǔ)漏洞并防范未來(lái)的攻擊。 滲透測(cè)試方法

外部測(cè)試 外部滲透測(cè)試針對(duì)在互聯(lián)網(wǎng)上可見(jiàn)的公司資產(chǎn)，例如 Web 應(yīng)用程序本身、公司網(wǎng)站以及電子郵件和域名服務(wù)器 （DNS）。目標(biāo)是獲得訪問(wèn)權(quán)限并提取有價(jià)值的數(shù)據(jù)。 內(nèi)部測(cè)試 在內(nèi)部測(cè)試中，有權(quán)訪問(wèn)其防火墻后面的應(yīng)用程序的測(cè)試人員模擬惡意內(nèi)部人員的攻擊。這不一定是模擬流氓員工。常見(jiàn)的起始方案可能是其憑據(jù)因網(wǎng)絡(luò)釣魚(yú)攻擊而被盜的員工。 盲測(cè) 在盲測(cè)中，測(cè)試人員僅獲得目標(biāo)企業(yè)的名稱。這使安全人員能夠?qū)崟r(shí)了解實(shí)際應(yīng)用程序攻擊的發(fā)生方式。 雙盲測(cè)試 在雙盲測(cè)試中，安全人員事先不了解模擬攻擊。就像在現(xiàn)實(shí)世界中一樣，在試圖突破之前，他們沒(méi)有任何時(shí)間加強(qiáng)防御。 針對(duì)性檢測(cè) 在這種情況下，測(cè)試人員和安全人員一起工作，并相互評(píng)估他們的動(dòng)作。這是一項(xiàng)有價(jià)值的培訓(xùn)練習(xí)，可從黑客的角度為安全團(tuán)隊(duì)提供實(shí)時(shí)反饋。 滲透測(cè)試和 Web 應(yīng)用程序防火墻 滲透測(cè)試和 WAF 是排他性但互惠互利的安全措施。對(duì)于多種滲透測(cè)試（盲測(cè)試和雙盲測(cè)試除外），測(cè)試人員可能會(huì)使用 WAF 數(shù)據(jù)（如日志）來(lái)定位和利用應(yīng)用程序的弱點(diǎn)。