信息安全渗(shèn)透测(cè)试
渗透(tòu)测(cè)试:是为了证明网络防御按照预期计划正常(cháng)运行而提供的一种机制。不妨假设,你的(de)公司定期更新安全策略和程序,时时给(gěi)系统打补丁,并采用了漏洞(dòng)扫描(miáo)器(qì)等工具,以确保所有补丁都(dōu)已打上。如果你(nǐ)早已做到了(le)这些(xiē),为(wéi)什么(me)还要(yào)请外方进行审查或(huò)渗透(tòu)测(cè)试(shì)呢(ne)?因为,渗透(tòu)测试能够独立地(dì)检查你的网络策略,换(huàn)句话(huà)说,就是给你的系统安(ān)了(le)一双(shuāng)眼(yǎn)睛(jīng)。而且,进行这类(lèi)测试的,都(dōu)是寻找网络(luò)系统安全漏洞的(de)专(zhuān)业人(rén)士。
服务简介(jiè)
渗(shèn)透测试(shì):是为了证明网络防御按照预期计划正常运行而提供的一种(zhǒng)机(jī)制(zhì)。不妨假设,你的(de)公司定期更新安全策(cè)略(luè)和程序(xù),时时给系统打(dǎ)补丁,并采用(yòng)了漏洞扫(sǎo)描(miáo)器等工(gōng)具,以确保所有补丁都已(yǐ)打上。如果你早已做到(dào)了这(zhè)些(xiē),为什么(me)还要请外方(fāng)进行(háng)审查或渗(shèn)透(tòu)测试呢?因为(wéi),渗透测试能(néng)够独立地检查(chá)你的网络策略,换句话说,就是给你的系统(tǒng)安了一双眼睛。而且,进行这类测试的,都是寻(xún)找网(wǎng)络系统安全漏洞的专业人士。
渗透测试流程:
1.前期交互阶段(duàn)、情报搜集阶段、威胁建模阶段、漏(lòu)洞分析阶段、
2.渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直(zhí)控制(zhì),维持访问)、报告阶段。
3.攻击前:网络踩点、网络扫描、网(wǎng)络查点
4.攻(gōng)击中:利用漏洞(dòng)信息进行渗(shèn)透攻(gōng)击(jī)、获取权限
5.攻击后:后(hòu)渗(shèn)透维持攻击、文件(jiàn)拷贝、木马植(zhí)入、痕迹擦除
1、黑箱测试
黑箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处(chù)于(yú)对系(xì)统一无所知的状态,通常这类型测试(shì),最初的信息获取来(lái)自于DNS、Web、Email及各(gè)种(zhǒng)公开对外的服务器。
2、白盒测试
白盒测试与黑箱(xiāng)测试恰恰相反,测试者可以通过正(zhèng)常渠道向被测单位取得(dé)各种(zhǒng)资料,包括网络拓(tuò)扑、员工资料甚至网(wǎng)站或其它程序的代码片断(duàn),也能够与单位的其它(tā)员工(销售、程序员、管理者……)进(jìn)行(háng)面对面的沟通。这类测试(shì)的目(mù)的是(shì)模拟企业内部雇员的(de)越权操作。
3、隐秘(mì)测试
1、主机操作系统(tǒng)渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等(děng)操作系统本身进行渗透(tòu)测(cè)试(shì)。
2、数据库系统(tǒng)渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等(děng)数据库应用系统进(jìn)行渗透(tòu)测试。
3、应用系统(tǒng)渗(shèn)透
对渗透(tòu)目(mù)标提供的(de)各种应用(yòng),如(rú)ASP、CGI、JSP、PHP等(děng)组成的WWW应用进行渗透测试。
4、网络设(shè)备渗透(tòu)
对各(gè)种防(fáng)火墙(qiáng)、入侵检测(cè)系统(tǒng)、网络设备进行渗透测(cè)试。
渗透测试流程:
1.前期交互阶段(duàn)、情报搜集阶段、威胁建模阶段、漏(lòu)洞分析阶段、
2.渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直(zhí)控制(zhì),维持访问)、报告阶段。
3.攻击前:网络踩点、网络扫描、网(wǎng)络查点
4.攻(gōng)击中:利用漏洞(dòng)信息进行渗(shèn)透攻(gōng)击(jī)、获取权限
5.攻击后:后(hòu)渗(shèn)透维持攻击、文件(jiàn)拷贝、木马植(zhí)入、痕迹擦除
渗透测试分类(lèi):
1、黑箱测试
黑箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处(chù)于(yú)对系(xì)统一无所知的状态,通常这类型测试(shì),最初的信息获取来(lái)自于DNS、Web、Email及各(gè)种(zhǒng)公开对外的服务器。
2、白盒测试
白盒测试与黑箱(xiāng)测试恰恰相反,测试者可以通过正(zhèng)常渠道向被测单位取得(dé)各种(zhǒng)资料,包括网络拓(tuò)扑、员工资料甚至网(wǎng)站或其它程序的代码片断(duàn),也能够与单位的其它(tā)员工(销售、程序员、管理者……)进(jìn)行(háng)面对面的沟通。这类测试(shì)的目(mù)的是(shì)模拟企业内部雇员的(de)越权操作。
3、隐秘(mì)测试
隐秘测试(shì)是对被测(cè)单位而言的,通(tōng)常情(qíng)况下,接受渗(shèn)透测试的单(dān)位网(wǎng)络管理(lǐ)部(bù)门会收到通知:在某(mǒu)些时段进行测(cè)试。因(yīn)此能够监测(cè)网(wǎng)络中出(chū)现的变化。但隐秘测试则(zé)被测单位也仅有极少数人知晓(xiǎo)测试的存(cún)在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是(shì)否到位。
1、主机操作系统(tǒng)渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等(děng)操作系统本身进行渗透(tòu)测(cè)试(shì)。
2、数据库系统(tǒng)渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等(děng)数据库应用系统进(jìn)行渗透(tòu)测试。
3、应用系统(tǒng)渗(shèn)透
对渗透(tòu)目(mù)标提供的(de)各种应用(yòng),如(rú)ASP、CGI、JSP、PHP等(děng)组成的WWW应用进行渗透测试。
4、网络设(shè)备渗透(tòu)
对各(gè)种防(fáng)火墙(qiáng)、入侵检测(cè)系统(tǒng)、网络设备进行渗透测(cè)试。
服务优势
安全高效
术先进.png)
技术先进
服务到位(wèi)
方案(àn)灵活
