返回
信息安全技术资料-渗透

信息安全技术资料-渗透

ID:38420380

大小:7.57 MB

页数:49页

时间:2019-06-12

信息安全技术资料-渗透_第1页
信息安全技术资料-渗透_第2页
信息安全技术资料-渗透_第3页
信息安全技术资料-渗透_第4页
信息安全技术资料-渗透_第5页
资源描述:

《信息安全技术资料-渗透》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全技术交流渗透测试深圳市网安计算机安全检测技术有限公司深圳市网安计算机安全检测技术有限公司深圳市网安计算机安全检测技术有限公司一、关于渗透测试二、渗透测试常见WEB漏洞三、部分渗透测试工具介绍四、安全漏洞风险等级定义五、常见攻击及防御主讲内容深圳市网安计算机安全检测技术有限公司安全检测主要有以下几种方式:渗透测试、审计和评估。现实中,单一的检测方式可能无法达到预期的效果。在检测系统安全的时候,通常根据不同的阶段和环境选择合适的测试方式。渗透测试为最直接的检测方式,可以为安全防御提供最有价值的信息。渗透测试的结果不仅是要评估目标系统或者网络的安全性,还要

2、决定成功攻击的可行性和风险等级。什么是渗透测试深圳市网安计算机安全检测技术有限公司渗透测试(PenetrationTest)是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/主机/数据库/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。目前,安全业界比较流行的开源渗透测试方法体系标准包括以下几个。安全测试方法学开源手册(OSSTMM)NISTSP800-42网络安全测试指南(NIST)OWASP十大Web应用安全威胁项目(OWASPTop10)Web安全威胁分类标准(WASC-TC)PTES渗透测试执行标准(PTES)渗透

3、测试标准流程深圳市网安计算机安全检测技术有限公司针对目前最普遍的Web应用层,为安全测试人员和开发者提供了如何识别与避免这些安全威胁的指南。OWASP十大Web应用安全威胁项目(OWASPTopTen)只关注具有最高风险的Web领域,而不是一个普适性的渗透测试方法指南。信息收集配置管理测试认证测试会话管理测试授权测试数据验证测试拒绝服务测试WEB服务测试AJAX测试OWASPTop10深圳市网安计算机安全检测技术有限公司PTES渗透测试执行标准是由安全业界多家领军企业技术专家所共同发起的,期望为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则

4、。PTES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同,具体包括以下7个阶段:前期交互阶段情报搜集阶段威胁建模阶段漏洞分析阶段渗透攻击阶段后渗透攻击阶段报告阶段渗透测试过程环节深圳市网安计算机安全检测技术有限公司实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:根据渗透方法分类黑箱测试白盒测试隐秘测试根据渗透目标分类主机操作系统渗透数据库系统渗透应用系统渗透网络设备渗透渗透测试的分类深圳市网安计算机安全检测技术有限公司实际上渗透测试并没有严格的分类方式,即使在软件开

5、发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:根据渗透方法分类黑箱测试白盒测试隐秘测试黑箱测试又被称为所谓的“Zero-KnowledgeTesting”,渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。渗透测试的分类深圳市网安计算机安全检测技术有限公司实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:根据渗透方法分类黑箱测试白盒测试隐秘测试白盒测试与黑箱测试恰恰相反,测

6、试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、程序员、管理者……)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。渗透测试的分类深圳市网安计算机安全检测技术有限公司实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:根据渗透方法分类黑箱测试白盒测试隐秘测试隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。但隐

7、秘测试则被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。渗透测试的分类深圳市网安计算机安全检测技术有限公司实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下:根据渗透目标分类主机操作系统渗透数据库系统渗透应用系统渗透网络设备渗透对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。渗透测试的分类深圳市网安计算机安全检测技术有限公司实际上渗透测试并没有严格的分类方式,即使在软件开发生命

8、周期中,也包含了渗透测试的环节,但根据实际应用,普遍

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。