什么是渗透测试它有什么作用(什么是渗透测试)
文章来源: 全云在线 http://www.cloudallonline.com/?jr49,我来为大家讲解一下关于什么是渗透测试它有什么作用?跟着小编一起来看一看吧!
什么是渗透测试它有什么作用
文章来源: 全云在线 http://www.cloudallonline.com/?jr49
一、什么是渗透测试渗透测试,也称为渗透测试,是对您的计算机系统的模拟网络攻击,以检查可利用的漏洞。在 Web 应用程序安全的上下文中,渗透测试通常用于增强 Web 应用程序防火墙 (WAF)。
笔测试可能涉及尝试破坏任何数量的应用程序系统(例如,应用程序协议接口 (API)、前端/后端服务器)以发现漏洞,例如易受代码注入攻击的未经处理的输入。
渗透测试提供的洞察力可用于微调您的 WAF 安全策略并修补检测到的漏洞。
渗透测试
二、渗透测试阶段渗透测试过程可以分为五个阶段。
1. 计划和侦察
第一阶段包括:
2.扫描
下一步是了解目标应用程序将如何响应各种入侵尝试。这通常使用以下方法完成:
3. 获得访问权限
此阶段使用Web 应用程序攻击,例如 跨站点脚本、 SQL 注入 和 后门程序,来发现目标的漏洞。然后测试人员尝试并利用这些漏洞,通常是通过提升权限、窃取数据、拦截流量等,以了解它们可能造成的损害。
4. 维护访问
此阶段的目标是查看漏洞是否可用于实现在被利用系统中的持久存在——足够长的时间让不法分子获得深入访问。这个想法是模仿 高级持续性威胁,这些威胁通常会在系统中保留数月,以窃取组织最敏感的数据。
5.分析
渗透测试的结果然后被编译成报告,详细说明:
安全人员分析此信息,以帮助配置企业的 WAF 设置和其他应用程序安全解决方案,以修补漏洞并防止未来的攻击。
三、渗透测试方法外部测试
外部渗透测试针对互联网上可见的公司资产,例如网络应用程序本身、公司网站以及电子邮件和域名服务器 (DNS)。目标是获得访问权并提取有价值的数据。
内部测试
在内部测试中,可以访问其防火墙后面的应用程序的测试人员会模拟恶意内部人员的攻击。这不一定是模拟流氓员工。一个常见的起始场景可能是员工的凭据因 网络钓鱼攻击而被盗。
盲测
在盲测中,测试人员只会被告知目标企业的名称。这使安全人员可以实时了解实际的应用程序攻击是如何发生的。
双盲测试
在双盲测试中,安全人员对模拟攻击没有先验知识。就像在现实世界中一样,他们在企图突破之前没有任何时间来加强他们的防御。
有针对性的测试
在这种情况下,测试人员和安全人员一起工作,并互相评估他们的动作。这是一项有价值的培训练习,可以从黑客的角度为安全团队提供实时反馈。
四、渗透测试和 Web 应用程序防火墙渗透测试和 WAF 是排他性但互惠互利的安全措施。
对于许多类型的渗透测试(盲测和双盲测试除外),测试人员可能会使用 WAF 数据(例如日志)来定位和利用应用程序的薄弱环节。
反过来,WAF 管理员可以从渗透测试数据中受益。测试完成后,可以更新 WAF 配置以防止测试中发现的弱点。
渗透测试满足安全审计程序的一些合规性要求,包括 PCI DSS 和 SOC 2。某些标准,例如 PCI-DSS 6.6,只能通过使用经过认证的 WAF 来满足。但是,这样做并不会降低渗透测试的用处,因为它具有上述优势和改进 WAF 配置的能力。
五、做渗透测试的好处1、减少攻击面
识别和缓解整个 IT 环境中的漏洞,以减少当今高级威胁的攻击面
2、了解安全漏洞
获得客观的视角,揭示盲点,让您了解内部 IT 团队可能因缺乏专业知识或不熟悉最新威胁而遗漏的安全漏洞
3、测试安全工具的有效性
测试您在网络安全工具和技术方面所做的投资,以确定是否存在任何漏洞或漏洞,以及它们是否可以阻止对您的组织的复杂攻击
4、优先考虑安全预算
在最需要的地方优先考虑您的安全预算,通过防止在更广泛的安全环境中出现浪费性支出,从长远来看节省资金
全云在线提供的渗透测试服务模拟对 IT 环境不同组件的真实攻击,以测试您的人员、流程和技术的检测和响应能力,并确定您的环境中存在的漏洞。
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com