软件安全渗透测试概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件安全渗透测试概述
8.1.1 渗透测试的概念
概念
➢渗透测试是由受信任的第三方进行的一种评估网络安全的活动,它是一个通过各种 手段攻击企业网络以找出存在于系统中的漏洞,进而给出存在于企业网络中的风险 的过程。通过模拟现实的网络攻击,渗透测试证实了恶意攻击者有可能获取或破坏 企业的数据资产。
Leabharlann Baidu 8.1.1 渗透测试的概念
• 复制一份目标环境,包括硬件平台,操作系统,数据库管理系统,应用软件等。 保守策略选择
• 对目标的副本进行渗透测试
8.2.3 编写渗透测试报告
意义及要点
➢ 一份有价值的渗透测试报告,能够帮助IT管理者迅速定位组织中的薄弱环节,用最少的代价规避可能遇 到的风险。渗透测试报告重在精确、简洁。
8.2.4 渗透测试的必要性
渗透测试执行的内容(续)
• 由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操 测试方自控 作、响应、分析,最终形成完整有效的渗透测试报告提交给用户。
• 全程监控、择要监控、主机监控、指定攻击源。
用户监控
• 保守策略选择:对于不能接受任何可能风险的主机系统,如银行票据核查系统,电力 调度系统等,可选择如下保守策略:
必要性
协助用户发现组织中的安全最短板,协助企 业 一有份效文的 档了齐解全目有前效降的低渗风 透险测的试初报始告任有务助;于组 织的IT管理者明目前安全现状,从而增强安 全的认知程度,甚至提高组织在安全方面的 预 渗算透;测试有助于组织中的所有成员意识到自 己岗位的安全重要性,从而提升内部安全。
➢渗透测试 ➢测试人员 ➢测试阶段 ➢测试报告
总结
8.1.1 渗透测试的概念
渗透测试的对象
漏洞:能够用来破 坏安全策略的弱点、 设计或实现错误。
破坏三方面特性: 机密性、完整性、
可用性。
威胁:能够引起破 坏的潜在安全侵害。
8.1.1 渗透测试的概念
渗透测试项目步骤
8.1.2 渗透测试阶段划分
渗透测试阶段
8.2 渗透测试执行过程
8.2.1 渗透测试各阶段的具体工作内容
黑客(Hacker)
➢黑客这个术语的现代意义,起源于1960年的麻省理工学院技术模型铁路俱乐部。 这个俱乐部设计比例较大、细节逼真的火车模型,而“黑客”被用来称呼那些发 现了聪明技巧的俱乐部成员。
➢渗透测试人员是一个有道德的黑客,他被雇佣来寻找公司网络的漏洞,以便评估 数据安全特性。攻入网络的道德黑客小组被称为老虎队。老虎队是一组程序员或 用户,他们自愿或被雇佣来发现新开发的软件或网络系统中的错误和安全漏洞, 或者弄清原有计算机网络的安全被瓦解的原因。 删掉后面的“老虎部队”的内 容,与本书无关,掩盖摘抄痕迹。
各阶段的具体工作内容
侦察 • 收集目标网络信息的最初阶段 扫描 • 查询活动系统,从而抓取网络共享、用户及特定应用程序信息的过程
• 实施渗透过程
获取访问
• 测试者将后门程序放入到被利用系统中,以便未来使用
维持访问
• 删除日志文件项、擦除进入系统痕迹的过程
擦除证据
8.2.2 渗透测试的执行
渗透测试执行的内容
8.1.1 渗透测试的概念
渗透测试人员
➢有道德的黑客; ➢雇佣来寻找公司网络的漏洞,以便评估数据安全特性; ➢一组程序员或用户;
8.1.1 渗透测试的概念
渗透测试类型
黑盒测 试
白盒测 试
灰盒测 试
黑盒测试:渗透者完全处于对系统一
无所知的状态,通常这类型测试,最
初测的试信者息可获以取通来过自 正于常渠DN道S向、被W测eb单、位 E取m得a各il及种各资种料公,开包对括外网的络服拓务扑器、。员工重 新资也给料称出甚作“至隐黑网秘盒站测测或试试 其。它它”程的定序义“的,隐代参蔽码考”片:性断是, 也对能被够测与单单位位而的言其的它。员通工常(情销况售下、,程接 序受员渗、透管测理试者的单……位)网进络行管面理对部面门的会沟收通。
• 为减轻渗透测试对网络和主机的影响,渗透测试时间尽量 时间选择 安排在业务量不大的时段或晚上。
• 为防止渗透测试造成网络和主机的业务中断,在渗透测试 策略选择 中不使用含有拒绝服务的测试策略。
授权渗透 • 在评估过程中,由于渗透测试的特殊性,用户可以要求对 测试的监 整体测试流程进行监控。
测手段
8.2.2 渗透测试的执行
8.1.1 渗透测试的概念
概念
➢渗透测试是由受信任的第三方进行的一种评估网络安全的活动,它是一个通过各种 手段攻击企业网络以找出存在于系统中的漏洞,进而给出存在于企业网络中的风险 的过程。通过模拟现实的网络攻击,渗透测试证实了恶意攻击者有可能获取或破坏 企业的数据资产。
Leabharlann Baidu 8.1.1 渗透测试的概念
• 复制一份目标环境,包括硬件平台,操作系统,数据库管理系统,应用软件等。 保守策略选择
• 对目标的副本进行渗透测试
8.2.3 编写渗透测试报告
意义及要点
➢ 一份有价值的渗透测试报告,能够帮助IT管理者迅速定位组织中的薄弱环节,用最少的代价规避可能遇 到的风险。渗透测试报告重在精确、简洁。
8.2.4 渗透测试的必要性
渗透测试执行的内容(续)
• 由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操 测试方自控 作、响应、分析,最终形成完整有效的渗透测试报告提交给用户。
• 全程监控、择要监控、主机监控、指定攻击源。
用户监控
• 保守策略选择:对于不能接受任何可能风险的主机系统,如银行票据核查系统,电力 调度系统等,可选择如下保守策略:
必要性
协助用户发现组织中的安全最短板,协助企 业 一有份效文的 档了齐解全目有前效降的低渗风 透险测的试初报始告任有务助;于组 织的IT管理者明目前安全现状,从而增强安 全的认知程度,甚至提高组织在安全方面的 预 渗算透;测试有助于组织中的所有成员意识到自 己岗位的安全重要性,从而提升内部安全。
➢渗透测试 ➢测试人员 ➢测试阶段 ➢测试报告
总结
8.1.1 渗透测试的概念
渗透测试的对象
漏洞:能够用来破 坏安全策略的弱点、 设计或实现错误。
破坏三方面特性: 机密性、完整性、
可用性。
威胁:能够引起破 坏的潜在安全侵害。
8.1.1 渗透测试的概念
渗透测试项目步骤
8.1.2 渗透测试阶段划分
渗透测试阶段
8.2 渗透测试执行过程
8.2.1 渗透测试各阶段的具体工作内容
黑客(Hacker)
➢黑客这个术语的现代意义,起源于1960年的麻省理工学院技术模型铁路俱乐部。 这个俱乐部设计比例较大、细节逼真的火车模型,而“黑客”被用来称呼那些发 现了聪明技巧的俱乐部成员。
➢渗透测试人员是一个有道德的黑客,他被雇佣来寻找公司网络的漏洞,以便评估 数据安全特性。攻入网络的道德黑客小组被称为老虎队。老虎队是一组程序员或 用户,他们自愿或被雇佣来发现新开发的软件或网络系统中的错误和安全漏洞, 或者弄清原有计算机网络的安全被瓦解的原因。 删掉后面的“老虎部队”的内 容,与本书无关,掩盖摘抄痕迹。
各阶段的具体工作内容
侦察 • 收集目标网络信息的最初阶段 扫描 • 查询活动系统,从而抓取网络共享、用户及特定应用程序信息的过程
• 实施渗透过程
获取访问
• 测试者将后门程序放入到被利用系统中,以便未来使用
维持访问
• 删除日志文件项、擦除进入系统痕迹的过程
擦除证据
8.2.2 渗透测试的执行
渗透测试执行的内容
8.1.1 渗透测试的概念
渗透测试人员
➢有道德的黑客; ➢雇佣来寻找公司网络的漏洞,以便评估数据安全特性; ➢一组程序员或用户;
8.1.1 渗透测试的概念
渗透测试类型
黑盒测 试
白盒测 试
灰盒测 试
黑盒测试:渗透者完全处于对系统一
无所知的状态,通常这类型测试,最
初测的试信者息可获以取通来过自 正于常渠DN道S向、被W测eb单、位 E取m得a各il及种各资种料公,开包对括外网的络服拓务扑器、。员工重 新资也给料称出甚作“至隐黑网秘盒站测测或试试 其。它它”程的定序义“的,隐代参蔽码考”片:性断是, 也对能被够测与单单位位而的言其的它。员通工常(情销况售下、,程接 序受员渗、透管测理试者的单……位)网进络行管面理对部面门的会沟收通。
• 为减轻渗透测试对网络和主机的影响,渗透测试时间尽量 时间选择 安排在业务量不大的时段或晚上。
• 为防止渗透测试造成网络和主机的业务中断,在渗透测试 策略选择 中不使用含有拒绝服务的测试策略。
授权渗透 • 在评估过程中,由于渗透测试的特殊性,用户可以要求对 测试的监 整体测试流程进行监控。
测手段
8.2.2 渗透测试的执行