信息安全渗透测试
渗透测(cè)试(shì):是为了证明网络(luò)防(fáng)御按(àn)照预期计划正(zhèng)常运行而(ér)提供的一种机制。不妨(fáng)假设,你(nǐ)的(de)公司定期更新(xīn)安(ān)全策略和程(chéng)序,时时给(gěi)系统打补丁,并采用(yòng)了漏(lòu)洞扫(sǎo)描器等工具(jù),以(yǐ)确保所有补丁都已打上。如果你(nǐ)早已(yǐ)做到了这些,为什么还要请外方进行审查或渗透测试呢(ne)?因为,渗透测试能够独立地检查你的网络(luò)策略,换句话说,就是给你的(de)系统安(ān)了一双眼睛。而且,进行这类测试的,都是寻(xún)找网络系统安全漏洞的专业(yè)人士。
服务简介
渗透测试:是为了证明网(wǎng)络防(fáng)御按(àn)照预期计划正常运行(háng)而(ér)提供的一种机制(zhì)。不妨假设,你(nǐ)的(de)公(gōng)司定期更新安全策略和(hé)程序,时时给系统打补丁,并采用了(le)漏洞扫(sǎo)描(miáo)器等工具,以确保(bǎo)所(suǒ)有补丁都(dōu)已打(dǎ)上。如果(guǒ)你早已做到了(le)这些,为什么(me)还要请外方进(jìn)行审查或渗透测试呢?因为,渗(shèn)透测(cè)试能够独立地检查你的网(wǎng)络策略(luè),换(huàn)句话说,就(jiù)是给你的系统安了一双(shuāng)眼睛(jīng)。而且,进行这类测试的,都是(shì)寻找(zhǎo)网络系统安(ān)全漏洞的(de)专业人(rén)士。
渗透测试(shì)流程:
1.前期交(jiāo)互阶段、情报搜集阶(jiē)段、威胁建模阶段、漏洞分析(xī)阶段、
2.渗透攻击(jī)阶段(Exploitation)、后渗透攻击阶段(怎(zěn)么一(yī)直(zhí)控(kòng)制,维持访问)、报告阶段。
3.攻击前:网络踩点、网络扫描、网(wǎng)络查点
4.攻击中(zhōng):利用(yòng)漏洞信息进行渗透攻击、获(huò)取权限
5.攻击后:后渗(shèn)透维持攻击、文件拷贝(bèi)、木马植入、痕迹擦除(chú)
1、黑箱测(cè)试
黑箱测试又被(bèi)称为所谓的“Zero-Knowledge Testing”,渗透者(zhě)完全处于对系(xì)统一无所知(zhī)的(de)状态,通常这类(lèi)型测(cè)试(shì),最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。
2、白盒测(cè)试
白盒测试与(yǔ)黑箱测(cè)试恰恰相反,测试(shì)者可以通过正常渠道向被(bèi)测单位取(qǔ)得各种资料,包括网(wǎng)络拓扑、员(yuán)工资料甚至网站(zhàn)或(huò)其(qí)它程序的代码片断,也(yě)能够与单位的其(qí)它员(yuán)工(销售、程序员(yuán)、管理者……)进行面(miàn)对面的沟通。这类测试的目的是模拟企(qǐ)业内部雇员的越权操作。
3、隐秘(mì)测试(shì)
1、主机操作系(xì)统渗(shèn)透(tòu)
对Windows、Solaris、AIX、Linux、SCO、SGI等操(cāo)作系(xì)统(tǒng)本身进行渗(shèn)透测(cè)试。
2、数据库系统渗透(tòu)
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进(jìn)行渗透(tòu)测试。
3、应(yīng)用系(xì)统渗(shèn)透
对(duì)渗透目标(biāo)提供的各种应用(yòng),如ASP、CGI、JSP、PHP等(děng)组(zǔ)成的WWW应用(yòng)进行渗透测试。
4、网络设(shè)备渗透
对各种(zhǒng)防火墙、入侵检测系统(tǒng)、网络设备进行渗透测试。
渗透测试(shì)流程:
1.前期交(jiāo)互阶段、情报搜集阶(jiē)段、威胁建模阶段、漏洞分析(xī)阶段、
2.渗透攻击(jī)阶段(Exploitation)、后渗透攻击阶段(怎(zěn)么一(yī)直(zhí)控(kòng)制,维持访问)、报告阶段。
3.攻击前:网络踩点、网络扫描、网(wǎng)络查点
4.攻击中(zhōng):利用(yòng)漏洞信息进行渗透攻击、获(huò)取权限
5.攻击后:后渗(shèn)透维持攻击、文件拷贝(bèi)、木马植入、痕迹擦除(chú)
渗透测试分类:
1、黑箱测(cè)试
黑箱测试又被(bèi)称为所谓的“Zero-Knowledge Testing”,渗透者(zhě)完全处于对系(xì)统一无所知(zhī)的(de)状态,通常这类(lèi)型测(cè)试(shì),最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。
2、白盒测(cè)试
白盒测试与(yǔ)黑箱测(cè)试恰恰相反,测试(shì)者可以通过正常渠道向被(bèi)测单位取(qǔ)得各种资料,包括网(wǎng)络拓扑、员(yuán)工资料甚至网站(zhàn)或(huò)其(qí)它程序的代码片断,也(yě)能够与单位的其(qí)它员(yuán)工(销售、程序员(yuán)、管理者……)进行面(miàn)对面的沟通。这类测试的目的是模拟企(qǐ)业内部雇员的越权操作。
3、隐秘(mì)测试(shì)
隐秘测试(shì)是对被(bèi)测单位而言(yán)的,通常情况下,接受渗透测(cè)试的单位(wèi)网络管理部门会(huì)收到通知(zhī):在某些时段进(jìn)行测试。因此(cǐ)能够监测(cè)网(wǎng)络中出现的变(biàn)化。但隐秘测(cè)试则被测(cè)单位也仅(jǐn)有(yǒu)极少数人知晓测试的存在,因此(cǐ)能够有效地检验单(dān)位中(zhōng)的信息安全事(shì)件监控、响应、恢(huī)复做得(dé)是否到(dào)位(wèi)。
1、主机操作系(xì)统渗(shèn)透(tòu)
对Windows、Solaris、AIX、Linux、SCO、SGI等操(cāo)作系(xì)统(tǒng)本身进行渗(shèn)透测(cè)试。
2、数据库系统渗透(tòu)
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库(kù)应用系统进(jìn)行渗透(tòu)测试。
3、应(yīng)用系(xì)统渗(shèn)透
对(duì)渗透目标(biāo)提供的各种应用(yòng),如ASP、CGI、JSP、PHP等(děng)组(zǔ)成的WWW应用(yòng)进行渗透测试。
4、网络设(shè)备渗透
对各种(zhǒng)防火墙、入侵检测系统(tǒng)、网络设备进行渗透测试。
服务优势
高效.png)
安全高效
技(jì)术先进
服务到位
方案灵(líng)活
