动力节点旗下在线教育品牌  |  咨询热线:400-8080-105 学Java全栈,上蛙课网
首页 > 文章

一文带你参透渗透测试

08-03 17:14 256浏览
举报 T字号
  • 大字
  • 中字
  • 小字

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。实际上,渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成的共识是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。对于渗透测试来说,核心是测试,不是攻击也不是防御。它是一个过程,不是一个工具,也不是一个技巧或知识点。想要理解渗透测试,就需要从“过程”的角度去展开一个维度,再从一个维度向其他维度去扩展。这样才能全方位的看待渗透测试。

我们认为渗透测试还具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

渗透测试按照渗透的对象不同可分为操作系统渗透、数据库系统渗透、应用系统渗透和网络设备渗透。对于不同的渗透目标或对象,采用不同的渗透测试技术,主要分为内网测试技术和外网测试技术。

内网测试通常指渗透测试执行者从信息系统内部网络绕过防火墙直接进行的测试,这种测试能够模拟内部员工的违规操作。进行这种测试主要可能采用的渗透方法包括:缓冲区溢出攻击、口令破解、应用程序测试、漏洞扫描、端口扫描等,其中对C/S模式的应用程序进行测试之前需准备好有关客户端软件。内网测试也称为白盒测试,测试者可以通过与被测单位的程序员、维护人员、管理人员面对面交流取得各种资料,包括网络拓扑、操作系统和数据库类型、员工资料甚至网站或其他程序的代码片段。

外网测试指的是在公司网络的外部进行的测试,测试人员在对内部网络状态完全不知道的情况下,模拟外部攻击者的一种行为。其中包括防火墙规则的规避、试探,远程攻击网络设备,对口令管理的安全性测试,其它开放应用服务及相关Web的安全性测试等。外网测试通常也被称为黑盒测试,所以,外网测试最初获取的信息大多通过搜索引擎、单位论坛或单位公开对外的服务器。

打一个比方来解释渗透测试的必要性。假设你要修建一座金库,并且你按照建设规范将金库建好了。此时是否就可以将金库立即投入使用呢?肯定不是!因为还不清楚整个金库系统的安全性如何,是否能够确保存放在金库的贵重东西万无一失。那么此时该如何做?可以请一些行业中安全方面的专家对这个金库进行全面检测和评估,比如检查金库门是否容易被破坏,检查金库的报警系统是否在异常出现的时候及时报警,检查所有的门、窗、通道等重点易突破的部位是否牢不可破,检查金库的管理安全制度、视频安防监控系统、出入口控制等等。甚至会请专人模拟入侵金库,验证金库的实际安全性,期望发现存在的问题。这个过程就好比是对金库的渗透测试。这里金库就像是我们的信息系统,各种测试、检查、模拟入侵就是渗透测试。

渗透测试能够通过识别安全问题来帮助了解当前的安全状况。到位的渗透测试可以证明你的防御确实有效,或者查出问题,帮助你阻挡可能潜在的攻击。提前发现网络中的漏洞,并进行必要的修补,就像是未雨绸缪;而被其他人发现漏洞并利用漏洞攻击系统,发生安全事故后的补救,就像是亡羊补牢。很明显未雨绸缪胜过亡羊补牢。

渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。这使促使许多单位开发操作规划来减少攻击或误用的威胁。撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例,以便证明所增加的安全性预算或者将安全性问题传达到高级管理层。

安全性不是某时刻的解决方案,而是需要严格评估的一个过程。安全性措施需要进行定期检查,才能发现新的威胁。渗透测试和公正的安全性分析可以使许多单位重视他们最需要的内部安全资源。此外,独立的安全审计也正迅速成为获得网络安全保险的一个要求。

渗透测试旨在证明,网络防御机制的运行与你认为的一样良好。往往系统和网络管理员视审查人员或渗透人员为敌人,但实际上他们却是朋友。到位的渗透测试可以证明你的防御确实有效,或者查出问题,帮助你阻挡未来攻击。出钱请自己知道的人来发现网络中的漏洞,总比让自己不知道的人发现漏洞好得多。

参透渗透测试的本质,我们才能不局限与渗透测试的表面。渗透测试是具有先进性的网络安全测试方法,对被测网络实施最直接的安全水平检验,维护网络环境的稳定与安全。想要了解更多的测试方法和渗透测试的相关知识欢迎浏览本站java视频课程,毕竟系统地学习才是掌握一门技术的关键。

0人推荐
共同学习,写下你的评论
0条评论
渺小的人
程序员渺小的人

6篇文章贡献25135字

作者相关文章更多>

推荐相关文章更多>

Java数据结构

HelloWorld10-31 08:24

浅谈MySQL中SQL优化的常用方法

军哥08-12 23:29

五分钟读懂UML类图

江湖人称小李白12-10 10:41

MyBatis开发框架的四大核心

IT逐梦者08-17 21:43

一次搞定continue,break和return

HelloWorld11-06 11:19

发评论

举报

0/150

取消