信息安全渗透测(cè)试
渗透(tòu)测试(shì):是(shì)为了证明(míng)网(wǎng)络防御按照预期计划(huá)正(zhèng)常运(yùn)行(háng)而提供的一种机(jī)制。不妨假设,你(nǐ)的公司定期更新安全策(cè)略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所(suǒ)有补(bǔ)丁都已打上。如果你(nǐ)早已做到了这些,为什么还要请(qǐng)外方进行审查或渗透测试呢?因为,渗透(tòu)测试(shì)能够独立(lì)地检查(chá)你的(de)网络策(cè)略,换句话(huà)说(shuō),就是给(gěi)你的系统(tǒng)安(ān)了(le)一(yī)双眼睛(jīng)。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
服务简介
渗透测试:是为了(le)证明网(wǎng)络防御按照预期计划正(zhèng)常运行(háng)而提供的一种机制。不妨假设,你的公司(sī)定期更新(xīn)安全(quán)策略和(hé)程序(xù),时时给系(xì)统打补丁,并采用了漏洞扫描器(qì)等工具(jù),以确保所有补丁(dīng)都(dōu)已打(dǎ)上。如果你早已做到了这些,为什么还要请外方进行审查(chá)或(huò)渗透测试(shì)呢(ne)?因为,渗透测试能够独(dú)立(lì)地检查你的网络策略,换句(jù)话说,就是给你(nǐ)的(de)系(xì)统(tǒng)安了(le)一双眼睛。而且,进行(háng)这(zhè)类测试的(de),都是寻找网络系统安全漏洞的(de)专业人士。
渗透测试流(liú)程:
1.前期交互阶段、情(qíng)报搜集阶段、威胁建模阶(jiē)段、漏洞分析阶(jiē)段、
2.渗透(tòu)攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制,维持访问)、报告阶段(duàn)。
3.攻击前(qián):网(wǎng)络踩点、网络扫描、网络查点
4.攻击中:利用漏洞信息进行渗透攻击、获(huò)取权限(xiàn)
5.攻击后:后渗透维持攻击(jī)、文(wén)件拷贝、木马植入、痕(hén)迹擦(cā)除
1、黑箱测试
黑箱测(cè)试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一(yī)无所知的状态,通常(cháng)这(zhè)类型测试,最(zuì)初(chū)的信息获(huò)取来自于DNS、Web、Email及各种(zhǒng)公开对外的(de)服务器(qì)。
2、白盒(hé)测试(shì)
白盒测试(shì)与黑箱测试恰恰相反(fǎn),测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑(pū)、员工资料甚至网站或(huò)其它程序的代码片断,也(yě)能(néng)够与单位的其(qí)它员工(销售(shòu)、程序员、管理者(zhě)……)进行面对面的沟通。这类测试的(de)目(mù)的(de)是模拟企业内部(bù)雇员的(de)越(yuè)权操作。
3、隐秘测试
1、主机操作(zuò)系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身(shēn)进行渗(shèn)透测试。
2、数据库(kù)系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数(shù)据(jù)库应用(yòng)系统进行渗透(tòu)测(cè)试。
3、应用系统渗透(tòu)
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进(jìn)行渗透测试。
4、网络设备渗(shèn)透
对各种(zhǒng)防火墙(qiáng)、入(rù)侵检测系统(tǒng)、网(wǎng)络(luò)设备进行渗(shèn)透测试。
渗透测试流(liú)程:
1.前期交互阶段、情(qíng)报搜集阶段、威胁建模阶(jiē)段、漏洞分析阶(jiē)段、
2.渗透(tòu)攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制,维持访问)、报告阶段(duàn)。
3.攻击前(qián):网(wǎng)络踩点、网络扫描、网络查点
4.攻击中:利用漏洞信息进行渗透攻击、获(huò)取权限(xiàn)
5.攻击后:后渗透维持攻击(jī)、文(wén)件拷贝、木马植入、痕(hén)迹擦(cā)除
渗透测试分类:
1、黑箱测试
黑箱测(cè)试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一(yī)无所知的状态,通常(cháng)这(zhè)类型测试,最(zuì)初(chū)的信息获(huò)取来自于DNS、Web、Email及各种(zhǒng)公开对外的(de)服务器(qì)。
2、白盒(hé)测试(shì)
白盒测试(shì)与黑箱测试恰恰相反(fǎn),测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑(pū)、员工资料甚至网站或(huò)其它程序的代码片断,也(yě)能(néng)够与单位的其(qí)它员工(销售(shòu)、程序员、管理者(zhě)……)进行面对面的沟通。这类测试的(de)目(mù)的(de)是模拟企业内部(bù)雇员的(de)越(yuè)权操作。
3、隐秘测试
隐秘测试是对被测单位而言的(de),通常情况下(xià),接受(shòu)渗(shèn)透测(cè)试的单位(wèi)网络管理部门会收到通知:在某些时段(duàn)进行测试。因此能够监测网络(luò)中出现的变化(huà)。但隐秘测试则被测单位也仅有极(jí)少数人知晓测试的(de)存在(zài),因此能够有(yǒu)效地(dì)检验(yàn)单位中的信息安(ān)全(quán)事件监控、响(xiǎng)应、恢复(fù)做得是否到位。
1、主机操作(zuò)系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身(shēn)进行渗(shèn)透测试。
2、数据库(kù)系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数(shù)据(jù)库应用(yòng)系统进行渗透(tòu)测(cè)试。
3、应用系统渗透(tòu)
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进(jìn)行渗透测试。
4、网络设备渗(shèn)透
对各种(zhǒng)防火墙(qiáng)、入(rù)侵检测系统(tǒng)、网(wǎng)络(luò)设备进行渗(shèn)透测试。
服务优势(shì)
安(ān)全高效
术先(xiān)进(jìn).png)
技(jì)术先进
务到位.png)
服务到位
方案(àn)灵活(huó)
