📅  最后修改于: 2020-12-06 11:32:39        🧑  作者: Mango

渗透测试用于发现系统中的缺陷，以便采取适当的安全措施来保护数据和维护功能。本教程简要介绍了渗透测试的核心概念。本教程已为初学者准备，以帮助他们了解渗透测试的基础知识以及如何在实践中使用它。先决条件在继续本教程之前，您应该对软件测试及其相关概念有基本的了解。...

📅  最后修改于: 2020-12-06 11:33:01        🧑  作者: Mango

什么是渗透测试?渗透测试是一种安全性测试，用于测试应用程序的不安全性。进行查找可能存在于系统中的安全风险。如果系统不安全，那么任何攻击者都可以破坏或获得对该系统的授权访问。安全风险通常是在开发和实施软件时发生的偶然错误。例如，配置错误，设计错误和软件错误等。为什么需要渗透测试?渗透测试通常评估系统保护其网络，应用程序，端点和用户免受外部或内部威胁的能力。它还尝试保护安全控制并确保仅授权访问。渗透测...

📅  最后修改于: 2020-12-06 11:33:27        🧑  作者: Mango

渗透测试是考虑了系统各种问题的技术的组合，然后进行测试，分析并给出解决方案。它基于逐步执行渗透测试的结构化过程。本章介绍渗透测试方法的各个步骤或阶段。渗透测试方法步骤以下是渗透测试的七个步骤-规划与准备计划和准备工作从定义渗透测试的目的和目标开始。客户和测试人员共同定义目标，以便双方具有相同的目标和理解。渗透测试的共同目标是-识别漏洞并提高技术系统的安全性。由外部第三方确认IT安全。增强组织/人员...

📅  最后修改于: 2020-12-06 11:33:50        🧑  作者: Mango

通常，由于误解或市场炒作，这两个术语(即渗透测试和漏洞评估)被很多人互换使用。但是，这两个术语在目标和其他方式上都彼此不同。但是，在描述差异之前，让我们首先一个个地理解这两个术语。渗透测试渗透测试复制了外部或/和内部网络攻击者的行为，旨在破坏信息安全并入侵有价值的数据或破坏组织的正常运行。因此，在先进的工具和技术的帮助下，渗透测试人员(也称为道德黑客)致力于控制关键系统并获得对敏感数据的访问。漏洞...

📅  最后修改于: 2020-12-06 11:34:16        🧑  作者: Mango

渗透测试的类型通常取决于范围以及组织的需求和要求。本章讨论有关渗透测试的不同类型。也称为笔测试。笔测试的类型以下是笔测试的重要类型-黑匣子渗透测试白盒渗透测试灰盒渗透测试为了更好地理解，让我们详细讨论它们-黑匣子渗透测试在黑匣子渗透测试中，测试人员不知道要测试的系统。他有兴趣收集有关目标网络或系统的信息。例如，在此测试中，测试人员仅知道预期结果应该是什么，而他不知道结果如何到达。他不检查任何编程代...

📅  最后修改于: 2020-12-06 11:34:40        🧑  作者: Mango

手动渗透测试和自动渗透测试都是出于相同目的而进行的。它们之间的唯一区别是它们的执行方式。顾名思义，手动渗透测试是由人类(该领域的专家)完成的，而自动渗透测试则是由机器本身完成的。本章将帮助您学习这两个术语的概念，差异和适用性。什么是人工渗透测试?手动渗透测试是人类进行的测试。在这种类型的测试中，机器的脆弱性和风险由专家工程师进行测试。通常，测试工程师执行以下方法-数据收集-数据收集在测试中起着关键...

📅  最后修改于: 2020-12-06 11:34:59        🧑  作者: Mango

渗透测试通常包括信息收集，漏洞和风险分析，漏洞利用以及最终报告准备。了解渗透测试中可用的各种工具的功能也很重要。本章提供有关这些功能的信息和见解。什么是渗透测试工具?下表收集了一些最重要的渗透工具，并说明了它们的功能-Tool NamePurposePortabilityExpected CostHpingPort ScanningRemote OC fingerprintingLinux, Ne...

📅  最后修改于: 2020-12-06 11:35:26        🧑  作者: Mango

计算机系统和相关的网络通常由大量设备组成，其中大多数设备在进行相应系统的全部工作和业务中起着重要作用。在任何时间以及这些设备的任何部分上的微小缺陷都可能对您的业务造成巨大损害。因此，它们都容易受到风险的影响，需要适当地加以保护。什么是基础架构渗透测试?基础设施渗透测试包括所有内部计算机系统，关联的外部设备，互联网联网，云和虚拟化测试。无论是隐藏在您的内部企业网络中还是从公开的角度来看，攻击者总是有...

📅  最后修改于: 2020-12-06 11:35:48        🧑  作者: Mango

存在保护组织中最关键数据的问题。因此，渗透测试人员的角色至关重要，较小的错误会使双方(测试人员及其客户)面临风险。因此，本章讨论渗透测试仪的各个方面，包括其资格，经验和职责。渗透测试员的资格该测试只能由合格的渗透测试仪执行；因此，渗透测试员的资格非常重要。合格的内部专家或合格的外部专家都可以执行渗透测试，直到他们在组织上独立为止。这意味着渗透测试人员必须在组织上独立于目标系统的管理。例如，如果第三...

📅  最后修改于: 2020-12-06 11:36:11        🧑  作者: Mango

有经验的渗透测试人员不必写出一份好的报告，因为编写渗透测试报告是一门需要单独学习的技术。什么是报告写作?在渗透测试中，报告编写是一项全面的任务，包括方法，步骤，对报告内容和设计的正确说明，测试报告的详细示例以及测试人员的个人经验。报告准备好后，将在目标组织的高级管理人员和技术团队之间共享。如果将来有任何此类需求，请以本报告为参考。报告撰写阶段由于涉及广泛的写作工作，渗透报告的写作可分为以下几个阶段...

📅  最后修改于: 2020-12-06 11:36:36        🧑  作者: Mango

互联网的快速发展改变了每个人的生活方式。如今，大多数私人和公共工程都依赖互联网。政府的所有秘密工作计划，其运作均基于互联网。所有这些事情使生活变得非常简单，并且容易获得。但是，有了好消息，这种发展也将蒙上阴影，例如犯罪黑客。这些犯罪骇客没有地缘政治限制，他们可以入侵来自世界任何地方的任何系统。它们会严重破坏机密数据和信用记录。因此，为了保护免受犯罪黑客的侵害，道德黑客的概念不断发展。本章讨论道德黑...

📅  最后修改于: 2020-12-06 11:36:58        🧑  作者: Mango

渗透测试与道德黑客非常相关，因此这两个术语经常互换使用。但是，这两个术语之间的区别很小。本章提供有关渗透测试和道德黑客之间的一些基本概念和根本区别的见解。渗透测试渗透测试是一个特定术语，仅专注于发现漏洞，风险和目标环境，目的是保护和控制系统。换句话说，渗透测试针对的是由所有计算机系统及其基础结构组成的相应组织的防御系统。道德黑客另一方面，道德黑客是一个广泛的术语，涵盖所有黑客技术以及其他关联的计算...

📅  最后修改于: 2020-12-06 11:37:21        🧑  作者: Mango

由于信息和技术领域的快速发展，渗透测试的成功故事还相对较短。由于需要对系统提供更多保护，因此比执行渗透测试所需的时间更多，以便将成功攻击的可能性降低到公司认可的水平。以下是渗透测试的主要限制-时间限制-众所周知，渗透测试并非始终受限制。但是，渗透测试专家已经为每次测试分配了固定的时间。另一方面，攻击者没有时间限制，他们计划在一周，一个月甚至几年内进行计划。范围的局限性–许多组织由于自身的局限性(包...

📅  最后修改于: 2020-12-06 11:37:38        🧑  作者: Mango

渗透测试的努力(无论多么彻底)无法始终确保对安全控制有效性不足的每个实例进行详尽的发现。识别应用程序一个区域中的跨站点脚本漏洞或风险可能不一定会暴露应用程序中存在的此漏洞的所有实例。本章说明了补救的概念和效用。什么是补救措施?补救是一种改进措施，以纠正错误并纠正错误。通常，一个区域中存在漏洞可能表明流程或开发实践中的弱点，这些弱点可能已经在其他位置复制或启用了类似漏洞。因此，在进行补救时，对于测试...

📅  最后修改于: 2020-12-06 11:37:59        🧑  作者: Mango

在允许某人测试敏感数据之前，公司通常会采取有关数据可用性，机密性和完整性的措施。为使该协议生效，法律合规性是组织的一项必要活动。下面介绍了用于实施渗透测试的上下文中建立和维护安全性和授权系统时必须遵守的最重要的法律法规。有哪些法律问题?以下是测试人员与其客户之间可能出现的一些问题-该测试仪对于他的客户来说是未知的-因此，应该从什么角度对他进行敏感数据的访问谁来保证丢失数据的安全性?客户可能会为测试...