渗透测试简介
前言:该系列为学习渗透测试-安全牛所做学习记录..
安全问题的根源
- 分层思想的优劣
- 只追求功能实现
- 最大的威胁是人
安全目标
先于攻击者发现和防止漏洞出现
- 攻击型安全 (渗透测试)
- 防护型安全 关闭端口、服务等降低攻击面(缺点在于容易忽视,投入太大效果很脆弱)
渗透测试
- 尝试挫败安全防御机制,发现系统安全弱点
- 从攻击者的角度思考,测量安全防护有效性
- 证明安全问题的存在,而非破坏
- 道德约束
- 法律
渗透测试标准
- PETS(渗透测试标准)
- 前期交互阶段 (确定渗透测试范围,渗透方式)
- 情报收集阶段 (主动/被动信息收集)
- 威胁建模阶段
- 漏洞分析阶段
- 渗透攻击阶段
- 后渗透测试阶段
- 渗透测试报告
渗透测试项目
- 渗透测试范围
- 获得授权
- 渗透测试方法
- 是否允许社会工程学
- 是否允许拒绝服务攻击