滲透測試,是為了證明網路防禦按照預期計畫正常執行而提供的一種機制。
滲透測試的分類實際上滲透測試並沒有嚴格的分類方式,即使在軟體開發生命週期中,也包含了滲透測試的環節,但根據實際應用,普遍認同的幾種分類方法如下:
方法分類
1、黑箱測試
黑箱測試又被稱為所謂的「zero-knowledge testing」,滲透者完全處於對系統一無所知的狀態,通常這型別測試,最初的資訊獲取來自於dns、web、email及各種公開對外的伺服器。
2、白盒測試
白盒測試與黑箱測試恰恰相反,測試者可以通過正常渠道向被測單位取得各種資料,包括網路拓撲、員工資料甚至**或其它程式的**片斷,也能夠與單位的其它員工(銷售、程式設計師、管理者……)進行面對面的溝通。這類測試的目的是模擬企業內部雇員的越權操作。
3、隱秘測試
隱秘測試是對被測單位而言的,通常情況下,接受滲透測試的單位網路管理部門會收到通知:在某些時段進行測試。因此能夠監測網路**現的變化。但隱秘測試則被測單位也僅有極少數人知曉測試的存在,因此能夠有效地檢驗單位中的資訊保安事件監控、響應、恢復做得是否到位。
目標分類
1、主機作業系統滲透
對windows、solaris、aix、linux、sco、sgi等作業系統本身進行滲透測試。
2、資料庫系統滲透
對ms-sql、oracle、mysql、informix、sybase、db2、access等資料庫應用系統進行滲透測試。
3、應用系統滲透
對滲透目標提供的各種應用,如asp、cgi、jsp、php等組成的www應用進行滲透測試。
4、網路裝置滲透
對各種防火牆、入侵檢測系統、網路裝置進行滲透測試。
滲透測試工具
滲透測試是一種利用模擬黑客攻擊的方式,來評估計算機網路系統 攻擊步驟
安全效能的方法。通常的黑客攻擊包括預攻擊、攻擊和後攻擊三個階段;預攻擊階段主要指一些資訊收集和漏洞掃瞄的過程;攻擊過程主要是利用第一階段發現的漏洞或弱口令等脆弱性進行入侵;後攻擊是指在獲得攻擊目標的一定許可權後,對許可權的提公升、後面安裝和痕跡清楚等後續工作。與黑客的攻擊相比,滲透測試僅僅進行預攻擊階段的工作,並不對系統本身造成危害,即僅僅通過一些資訊蒐集手段來探查系統的弱口令、漏洞等脆弱性資訊。為了進行滲透測試,通常需要一些專業工具進行資訊收集。滲透測試工具種類繁多,涉及廣泛,按照功能和攻擊目標分為網路掃瞄工具、通用漏洞檢測、應用漏洞檢測三類。
測試培訓之我見
iverson2007年5月8日 一起測試網 軟體質量專家 做軟體測試有些時間了,也學習了一些測試相關的技術,培訓也做了幾次,從我第一次被培訓,到我給別人做了幾次培訓,總結了一些測試培訓相關的想法,拿出來和大家分享。花較少的時間介紹了測試理論後,就要進入學員們最感興趣的測試技術部分。測試技術,應該以...
滲透測試學習筆記 初識滲透測試
黑客活動 hacking 道德黑客 ethical hacking 白帽黑客 white hat hacking poc proof of concept,概念證明。pt penetration testing或者pen testing,滲透測試。apt advanced package tool,...
滲透測試 SSH
安全shell ssh 服務提供了對unix和windows系統的加密訪問,通過ssh可以進行命令列shell訪問 檔案訪問與安全ftp 以及簡單的vpn服務。由於使用明文的服務 如telnet 存在的弱點經常會被攻擊者利用來突破網路,所以ssh應運而生,主要用於實現對伺服器的加密訪問,以達到安全地...