滲透測試具有的兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。 滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運行的攻擊方法進行的測試。 主要通過對目標(biāo)系統(tǒng)信息的全面收集、對系統(tǒng)中網(wǎng)絡(luò)設(shè)備的探測、對服務(wù)器系統(tǒng)主機的漏洞掃描、對應(yīng)用平臺及數(shù)據(jù)庫的安全性掃描及通過應(yīng)用系統(tǒng)程序的安全性滲透測試等手段來完成對整個系統(tǒng)的安全性滲透測試。
第四章 滲透測試技術(shù)的發(fā)展趨勢 在互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施已經(jīng)比較完善的今天,互聯(lián)網(wǎng)的核心其實是由用戶數(shù)據(jù)驅(qū)動的,用戶產(chǎn)生業(yè)務(wù),業(yè)務(wù)產(chǎn)生數(shù)據(jù)。 互聯(lián)網(wǎng)公司除了擁有一些固定資產(chǎn),如服務(wù)器等實體設(shè)備,最核心的價值就是其擁有的用戶數(shù)據(jù),所以安全的核心問題,是數(shù)據(jù)的安全問題。
第二章Web 滲透測試方案設(shè)計 2.1 滲透測試網(wǎng)站創(chuàng)建 為了研究 Web 滲透測試技術(shù),我們需要一個測試用的 Web 網(wǎng)站,由于法律的限制, 我們不能直接去攻擊互聯(lián)網(wǎng)上的Web 網(wǎng)站,所以需要自己創(chuàng)建一個實驗測試用 Web 網(wǎng)站, 這樣不但合法,而且還有利于測試完成后做修補加固和代碼審核工作。 測試Web 網(wǎng)站可以創(chuàng)建在本地,也可以創(chuàng)建到自己購買的虛擬空間或云主機上,為了 方便起見,這里選擇在云平臺上的一臺Windows 2003 虛擬機系統(tǒng)上創(chuàng)建Web 網(wǎng)站。
后滲透階段在任何一次滲透測試過程中都是一個重要環(huán)節(jié),后滲透階段將以特定的業(yè)務(wù)系統(tǒng)作為目標(biāo),識別出關(guān)鍵的基礎(chǔ)設(shè)施,并尋找客戶組織最具價值和嘗試進行安全保護的信息和資產(chǎn),當(dāng)你從一個系統(tǒng)攻入另一個系統(tǒng)時,你需要演示出能夠?qū)蛻艚M織造成最重要業(yè)務(wù)影響的攻擊途徑。 報告階段是滲透測試過程中最為重要的環(huán)節(jié),使用報告文檔交流你在滲透測試過程中做了哪些,如何做的,以及最為重要的是,客戶組織如何修復(fù)你所發(fā)現(xiàn)的安全漏洞與弱點。