渗透及分类方法有哪几类(什么是渗透测试?)

Posted

篇首语:未知的事物总是被人以为奇妙无比。本文由小常识网(cha138.com)小编为大家整理,主要介绍了渗透及分类方法有哪几类(什么是渗透测试?)相关的知识,希望对你有一定的参考价值。

渗透及分类方法有哪几类(什么是渗透测试?)

网盾带你深入了解——渗透测试

渗透测试(Pentest),并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。

我们先来看一个例子

银行通常在启用金库之前会进行安全检测,例如:金库门是否容易被破坏、金库的报警系统是否在异常出现的时候及时报警、检查所有的门、窗以及通道等重点易突破的部位是否牢不可破、金库的安全管理制度、视频安防监控系统、出入口控制、人员的污点调查、应急演练。

渗透测试的目的

侵入系统并获取机密信息,并将入侵的过程和细节形成报告提供给用户,由此确定用户系统所存在的安全威胁,并能及时提醒安全管理员完善安全策略,降低安全风险。

进行专业的渗透测试后,即使是系统未被攻破,也可以证明先前实行的防御是有效的,专业的渗透测试可以有效评估系统的安全状况,并提出合理的改进方案。

渗透测试的分类

根据渗透测试的方法可分为:

黑盒测试: 将测试对象看作一个黑盒子,安全不考虑测试对象的内部结构;

白盒测试: 把测试对象看作一个打开的盒子,测试人员一句测试对象内部逻辑结构相关的信息,设计或选择测试用例;

灰盒测试: 介于白盒与黑盒之间,是基于对测试对象内部细节有限认知的软件测试方法。

根据测试的目标分类可分为:

主机操作系统的测试

数据库系统的测试

应用系统的测试

网络设备的测试

渗透测试的过程

渗透测试有一个执行标准(PTES),其核心理念是通过建立起进行渗透测试所需要的基本准则基线,来定义一次真正的渗透测试过程。标准将渗透测试过程分为七个阶段,依次为:前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、报告阶段。

一、前期交互阶段。

在前期交互阶段,渗透测试团队与客户组织主要进行交互讨论.重点确定渗透测试的范围 目标限制条件以及服务合同细节。

该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标 、项目管理与规划等活动。

客户出具委托书,并同意实施方案.渗透测试首先必须将实施方法、实施时间 、实施人员,实施工具等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。

二、信息收集分析阶段。

信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性的制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。这一步主要包括白盒收集、人力资源情报、踩点、寻找外网入口以及识别防御机制。

三、威胁建模阶段

威胁建模主要使用情报搜集阶段所活的到的信息,来标识出目标系统上可能存在的安全漏洞与弱点。

在威胁建模阶段,通常需要将客户组织作为敌手来看待,然后以攻击者的视角和思维来尝试利用目标系统的弱点。

此阶段的工作主要为:业务流程分析、威胁对手/社区分析、威胁对手/社区分析

四、漏洞分析阶段

漏洞分析阶段主要是从前面几个环节获取的信息分析和理解哪些攻击途径是可行的。

特别需要重点分析端口和漏洞扫描结果,提取到的服务 “旗帜”信息,以及在情报收集环节中得到的其他关键信息。

五、渗透攻击阶段

渗透攻击主要是针对目标系统实施深入研究和测试的渗透攻击,并不是进行大量漫无目的的渗透测试。

六、后渗透攻击阶段

后渗透攻击阶段主要是从已经攻陷了的客户组织系统标识出关键的基础设施,寻找最具有价值信息和资产。主要包括:基础设施分析、高价值目标识别、掠夺敏感信息、掩踪灭迹、权限维持。

七、渗透测试报告

报告是渗透测试过程中最为重要的因素,将使用报告文档来交流在渗透测试过程中做了哪些,如何做的,以及最为重要的就是告诉客户组织如何修复你所发现的安全漏洞与弱点。

相关参考

汽车按用途分为哪几类(汽车变速箱有哪几种类型)

...构组成,有些汽车还有动力输出机构。二、汽车变速箱的分类汽车变速箱主要有手动变速箱,AMT变速箱,CVT变速箱,AT变速箱和双离

床垫的材质有哪些种类(你知道床垫有哪几类吗?)

...类吗?它们的优缺点是什么?以及适合什么人群?床垫的分类主要有以下几种。弹簧床垫:是人们最常用的一种,优点在于弹性好、承托性佳,耐用性高,床垫软硬度适中。因弹簧系统不太符合人体工学设计,牵一发而动全身,...

建筑防水材料有哪几种(外墙防水材料有哪些 这几种你应该知道)

...料的选择至关重要。外墙防水材料有哪些?主要有水泥基渗透结晶型防水涂料、西班牙进口多矿物内墙涂料、西班牙进口多矿物内墙涂料、特种透明防水剂等。外墙防水材料有哪些?水泥基渗透结晶型防水涂料较为常见。这种外...

机器人主要分为哪几类(移动机器人分类)

煜禾森移动机器人矩阵平台在室内外移动机器人产业浪潮的推动下,移动机器人市场持续升温,行业分工作业将机器人分为机器人行业应用端与模块化机器人底盘。模块化移动机器人底盘承载了机器人自身的定位,导航及避障功...

法兰标准有哪几类(12种类型,13大基础知识,精髓的法兰知识)

...304、321、铬钼钢、铬钼钒钢、钼二钛、衬胶、衬氟材质。分类:平焊法兰

法兰标准有哪几类(12种类型,13大基础知识,精髓的法兰知识)

...304、321、铬钼钢、铬钼钒钢、钼二钛、衬胶、衬氟材质。分类:平焊法兰

常用的萃取剂有哪几类(2022年中国铜萃取剂需求现状及发展趋势)

萃取剂的作用是与被萃取的金属通过配合化学反应生成萃合物萃入到有机相,又能通过某种化学反应使被萃取的金属从有机相反萃取到水相,由此而达到金属提纯与富集的目的。目前常用的铜萃取剂分为3类:(1)酮肟类。这是...

常用的浮选药剂有哪几类(14种常见的工业污水的特征及处理方法(下部))

上一篇文章中介绍了含汞含酚含油农药等废水的特征及处理方法,本文将介绍下部。8、造纸工业污水的特性及处理方法造纸废水主要来自造纸工业生产中的制浆和抄纸两个生产过程。制浆是把植物原料中的纤维分离出来,制成...

常见降水的形式有哪几种(降水与排水)

...井点、管井井点及深井井点等,井点降水的方法根据土的渗透系数、降低水位的深度、工程特点及设备条件等。1、轻型井点①轻型井点构造一般每隔0.8m或1.2m设一个连接井点管,一套抽水设备能带动的总管长度,一般为100-120m。...

有哪几类反应釜(卧式反应釜)

消声器,除氧器,滤水器,冷油器消音器生产厂家-久盛电力卧式反应釜的用途及特点卧式反应器(简称:dcs)是采用双列管板式结构,以不锈钢作为材质,广泛应用于石油、化工、制药等工业领域。它是一种高精度压力容器,用于...