什么是渗透测试?渗透测试分为哪几类
关于“渗透测试”,想必大家都听说过,它是网络安全中非常重要的部分。那么什么是渗透测试?渗透测试分类方式有哪些?以下是详细的内容介绍。
什么是渗透测试?
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试分类方式有哪些?
实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:
第一种:方法分类
1、黑箱测试
黑箱测试又被称为所谓的Zero-KnowledgeTesting,渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。
2、白盒测试
白盒测试与黑箱测试恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片段,也能够与单位的其它员工进行面对面的沟通。
3、隐秘测试
通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。
第二种:目标分类
1、主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。
3、应用系统渗透
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。
4、网络设备渗透
对各种防火墙、入侵检测系统、网络设备进行渗透测试。
文章来源于互联网:什么是渗透测试?渗透测试分为哪几类?
原创文章,作者:Admin,转载请注明出处:https://secvery.com/6309.html
渗透测试方法和主要过程简单介绍
渗透测试的测试方法1、黑盒测试:没有目标网络内部相关信息的情况下进行真实模拟入侵的方法。2、白盒测试:渗透测试人员可以从正常渠道从被测试机构获取内部相关信息资料然后开展测试的方法。3、灰盒测试:白盒测试和黑盒测试基本类型的组合。
渗透测试主要过程前期交互阶段:收集客户需求,确定测试范围、目标等。情报搜集阶段:获取目标组终网络拓扑、系统配置与安全防御措施的信息;策略有主动和被动的信息收集。威胁建模阶段:渗透团队进行威胁建模和攻击规划。漏洞分析阶段:分析前阶段的情报信息,找出实施渗透攻击的攻击点并验证。渗透攻击阶段:利用所找到的安全漏洞,对系统进行入侵,获取控制权。后渗透攻击阶段:在取得系统控制权后进行的后渗透攻击动作,如获取敏感信息、进一步拓展、实施跳板攻击。报告阶段:提交渗透报告,说明渗透攻击过程,并提出修补方案。