📅  最后修改于: 2020-12-06 10:27:20             🧑  作者: Mango
笔测试或渗透测试可以定义为通过模拟针对计算机系统的网络攻击来利用漏洞来评估IT基础结构的安全性的尝试。
漏洞扫描和渗透测试之间有什么区别?漏洞扫描只是识别出所指出的漏洞,并且如先前所述,渗透测试是对漏洞的一种尝试。渗透测试有助于确定系统中是否可能发生未经授权的访问或任何其他恶意活动。
我们可以使用手动或自动技术对服务器,Web应用程序,无线网络,移动设备和任何其他潜在的暴露点进行渗透测试。由于进行了渗透测试,因此,如果我们利用任何类型的漏洞,都必须将这些漏洞转发给IT和网络系统管理员,以得出战略结论。
在本节中,我们将了解渗透测试的重要性。考虑以下几点以了解重要性-
从渗透测试的重要性可以理解,它可以通过对组织安全性的详细评估为组织提供保证。
借助渗透测试,我们可以在面临任何损害之前发现潜在威胁,并保护该组织的机密性。
渗透测试可以确保我们在组织中实施安全策略。
借助渗透测试,可以管理网络的效率。它可以检查防火墙,路由器等设备的安全性。
假设我们要对网络设计进行任何更改或更新软件,硬件等,则渗透测试可确保组织抵御任何类型的漏洞的安全。
渗透测试人员是软件专业人员,可以帮助组织通过识别漏洞来增强防御网络攻击的能力。渗透测试人员可以使用手动技术或自动化工具进行测试。
现在让我们考虑一个好的渗透测试仪的以下重要特征-
一个好的pentester必须具备应用程序开发,数据库管理和网络方面的知识,因为他/她将被要求处理配置设置和编码。
彭特斯必须是一位杰出的思想家,并且会毫不犹豫地对特定任务应用不同的工具和方法,以获取最佳的产出。
优秀的五分之一学生必须具备确定每个渗透测试范围的知识,例如目标,限制和程序的合理性。
一个pentester必须掌握最新的技术技能,因为技术随时可能发生变化。
成功实施渗透测试后,笔测试人员必须在最终报告中提及所有发现和潜在风险。因此,他/她必须具有良好的报告制作能力。
一个充满激情的人可以在生活中取得成功。同样,如果一个人对网络证券充满热情,那么他/她可以成为一名优秀的笔测试人员。
现在,我们将了解渗透测试的范围。以下两种测试可以定义渗透测试的范围-
无损检测不会给系统带来任何风险。 NDT用于在缺陷变得危险之前发现缺陷,而不会损害系统,物体等。在进行渗透测试时,NDT执行以下操作-
该测试扫描并识别远程系统中可能存在的漏洞。
找到漏洞后,它还会对所有发现的内容进行验证。
在NDT中,笔测试仪将正确使用远程系统。这有助于避免中断。
注–另一方面,在进行渗透测试时,NDT不会执行拒绝服务(DoS)攻击。
破坏性测试可能会使系统面临风险。与无损检测相比,它更昂贵并且需要更多技能。在进行渗透测试时,破坏性测试将执行以下操作-
拒绝服务(DoS)攻击-破坏性测试执行DoS攻击。
缓冲区溢出攻击-它还会执行缓冲区溢出攻击,这可能导致系统崩溃。
渗透测试技术和工具仅应在您拥有或有权在其中运行这些工具的环境中执行。我们绝不能在未经授权的环境中练习这些技术,因为未经许可的渗透测试是非法的。
我们可以通过安装虚拟化套件-VMware Player ( www.vmware.com/products/player )或Oracle VirtualBox来进行渗透测试-
www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html
我们还可以从当前版本的-中创建虚拟机(VM)-
Kali Linux( www.kali.org/downloads/ )
武士网络测试框架( http://samurai.inguardians.com/ )
Metasploitable( www.offensivesecurity.com/metasploit-unleashed/Requirements )