網路安全基礎入門_滲透測試包括哪五個階段?
在當下,“滲透測試”已為公眾所知,它是為了證明網路防禦按照預期計劃正常執行而提供的一種機制。那麼滲透測試包括哪五個階段?我們一起來看看詳細的內容介紹。
滲透測試往往會涉及到模擬破壞任意數量的應用程式或系統,其中包括:應用程式的協議介面、前端或後端伺服器、安全基礎設施以及利用漏洞植入程式碼或竊取敏感資料等。一般情況下,滲透測試包括這五個階段:
第一階段:計劃和偵察
此階段主要包括:定義待測試的範圍、優先順序和目標。同時,此階段還會說明關鍵系統的主要特徵,以及即將執行的測試型別。
而偵察階段與情報的收集有關。比如:以被動和主動的方式,獲取與目標系統相關的網路、域名以及郵件伺服器等資訊,以便更好地瞭解待測目標的工作原理,及其潛在的切入口。
第二階段:掃描
該階段主要涉及到了解目標系統將如何響應各種自動化的入侵嘗試以及攻擊行為。滲透測試人員通常會使用如下方法:
靜態分析:在服務系統執行之前,檢查應用程式的原始碼,透過將其與既有的編碼規則進行比較,進而對其進行程式碼級的分析與除錯。
動態分析:透過實時執行真實資料,對系統的安全性進行測試和評估。此類分析的目標是,透過採用自動化的安全掃描工具,對應用程式或系統執行掃描,進而實時發現各種錯誤與漏洞。
靜態或者動態分析之後,我們需要透過手動驗證已發現的漏洞和錯誤,以消除各種誤報。
第三階段:獲得訪問或利用的許可權
在前面階段已被識別出的各種漏洞,將會在此時被想方設法地利用到目標系統上,以獲取訪問許可權,進而攫取各種有價值的資訊。具體的利用方式有很多,比如:提升許可權、攔截流量、注入惡意程式碼等。它們在攻擊方式上各有側重點,所造成的損害程度也不盡相同。
第四階段:保持訪問
此階段的主要目標是:確保攻擊在獲得對應用程式或底層系統的訪問許可權之後,仍然可以保持持續的訪問狀態。畢竟,只要攻擊者能夠維持對系統長期有效的訪問許可權,他們就能夠更深、更遠地接觸到其他相關應用。可以說,滲透測試人員需要在本階段透過模仿和檢測,發現那些長期駐留在系統中、且尚未被檢測到的高階持續威脅。
第五階段:分析和報告
最後,我們需要將測試結果編譯成詳細的報告。而報告的主體應當主要能夠反應出可以被利用的漏洞、易於被破壞和訪問的敏感資料、以及安全測試人員在被發現之前,可以在系統中駐留的時長。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2850581/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 外部網路滲透測試是什麼意思?網路安全基礎入門
- 網路安全滲透測試的型別!滲透測試入門教程型別
- 網路安全審計工具—Nmap!滲透測試入門
- 網路安全滲透測試
- 【網路安全入門】滲透測試常用工具有哪些?
- 內網滲透測試基礎內網
- 滲透測試網站安全基礎點講解網站
- 滲透測試可能遇到哪些訊息頭?網路安全基礎學習
- 網路安全滲透測試分為哪幾類?網路安全好就業嗎?就業
- 網站安全公司 滲透測試基礎知識點大全網站
- 滲透測試基礎知識---nginx安全配置Nginx
- 滲透測試基礎--內網轉發內網
- 物理滲透測試基礎
- 滲透測試可能遇到哪些請求訊息頭?網路安全入門學習
- 滲透測試入門實戰
- 滲透測試(PenTest)基礎指南
- 滲透測試公司 對PHP網站安全後門檢測PHP網站
- 工業網際網路網路安全滲透測試技術研究
- python滲透測試入門——Scapy庫Python
- 【彙總】網路安全滲透測試常見面試題!面試題
- 滲透測試是什麼?滲透測試三種分類主要包括哪些?
- 什麼是網路滲透測試?網路滲透測試分為幾種型別?型別
- 網站安全滲透測試檢測認證登入分析網站
- 多個角度分析滲透測試網站安全效能網站
- 網站滲透測試安全檢測漏洞網站
- 網站滲透測試安全檢測方案網站
- 軟體滲透測試有哪幾個測試階段?廣東靠譜的軟體測評中心推薦
- 網站安全測試之APP滲透測試漏洞網站APP
- 網路安全的五大基本特性是什麼?滲透測試學什麼?
- metasploit 滲透測試筆記(基礎篇)筆記
- 滲透測試基礎知識----MySQL 配置MySql
- 【網路安全】軟體測試和滲透測試有什麼區別?
- 什麼是網路安全?網路安全包括哪幾個方面?
- 網路安全學什麼基礎?網路安全哪個好些?
- 網路安全滲透測試常見的7種型別!型別
- 滲透測試網路安全行業趨勢分析選擇行業
- 【網路安全乾貨分享】滲透測試的完整流程!
- 雲端計算安全有哪五個階段?