软件测试 |渗透测试
渗透测试简介:
它通常被称为道德黑客中的渗透测试或渗透测试。这是一种网络攻击形式,基本上是为了检查系统的安全状况。人们经常将此渗透测试或渗透测试与漏洞评估测试混淆。
渗透测试的历史:
1965 年,安全问题出现了,因为许多人认为通信线路可以被渗透,攻击者/黑客可能能够获取一个人与另一个人之间交换的数据。在 1967 年的年度联合会议上,各种计算机专家都表示,通信线路可以被穿透。当一家公司发现互联网通信面临重大威胁时,就会想到渗透测试的想法。这就是导致许多组织分配一个团队的原因,该团队将试图找到计算机网络或系统中的漏洞,从而防止任何未经授权的访问。
什么是渗透测试?
这是为了了解系统安全状况而进行的一种网络攻击。人们经常将此测试与漏洞评估测试混淆。因此,渗透测试由一些方法或指令组成,其主要目的是测试组织的安全性。事实证明,该测试对组织很有帮助,因为它有助于发现漏洞并检查攻击者/黑客是否能够利用并有足够的能力获得未经授权的访问。
漏洞评估和渗透测试之间的区别
漏洞评估:- 此测试不应与渗透测试混淆。渗透的主要目的是发现资产中的漏洞并以有组织的方式记录它们。
渗透测试:-这个测试基本上是为了看看攻击者/黑客是否可以利用这些漏洞。如果利用是可能的,则记录这些漏洞。
渗透测试过程:
渗透测试过程包括五个阶段:
- 侦察:
此阶段也称为计划阶段。在此阶段,收集有关目标系统的重要信息。 - 扫描:
在此阶段,使用不同的扫描工具来确定系统对攻击的响应。系统的漏洞也会被检查。 - 获得访问权:
在此阶段使用在计划和扫描阶段收集的数据,有效载荷用于利用目标系统。 - 维护访问:
此阶段需要采取相关步骤,以便能够在目标环境中持续收集尽可能多的数据。 - 对用户隐藏
这是攻击者必须清除在目标系统中完成的任何活动的痕迹的时刻。这样做是为了对用户/受害者隐藏。
渗透测试规则
在进行渗透测试时必须遵循一些规则,例如应该使用的方法、开始和结束日期、渗透测试的目标等等。为了使渗透测试成为可能,客户和代表之间应该达成共识。这些是规则中常见的一些内容,如下所示:-
- 将有一个保密协议,其中将有书面许可进行黑客攻击。该保密协议必须由双方签署。
- 渗透测试应该有一个开始和结束日期。
- 应该使用什么方法来进行渗透测试?
- 应该有渗透测试的目标。
渗透测试的类别:
渗透测试的类别实际上基于组织想要测试的内容。因此,类别可以分为三种类型:-
- 黑匣子:- 在这种情况下,很少或根本没有提供关于指定目标的信息。
- 白框:-在这种情况下,提供了有关目标的所有信息。
- 灰盒:- 在这种情况下,提供了一些信息,而隐藏了有关目标的一些信息。
渗透测试的类型:
- 社会工程渗透测试:- 该测试也可以被视为网络渗透测试的一部分。在这种情况下,组织可能会要求渗透测试人员攻击其用户。这是渗透测试人员有资格使用鱼叉式网络钓鱼攻击以及更多欺骗用户做不可思议的事情的时刻。
- 物理渗透测试:- 在这种情况下,渗透测试人员将被要求检查建筑物的物理安全控制,如锁和 RFID 机制。
- 网络渗透测试:- 在这种情况下,渗透测试人员必须测试网络环境是否存在潜在的安全漏洞和威胁。
- Web 应用程序渗透测试:- 这种测试现在被认为是常见的,因为应用程序托管数据可以被认为是至关重要的。数据可以是用户名、密码等。
- 移动应用程序渗透测试:- 之所以进行此测试,是因为现在每个组织都使用基于 Android 或 Ios 移动设备的应用程序。因此,目标是确保他们的移动应用程序安全,并使客户在使用任何应用程序时能够可靠地提供个人信息。
渗透测试的优点:
- 可以进行渗透测试以发现可能成为系统弱点的漏洞。
- 它还用于识别漏洞带来的风险。
渗透测试的缺点:
- 未正确完成的渗透测试可能会暴露可能敏感的数据等等。
- 必须信任渗透测试人员,否则,所采取的安全措施可能会适得其反。
渗透测试工具:
- 地图
- 内苏斯