什么是渗透测试?渗透测试怎么学?
渗透测试就是一种通过模拟使用黑客的技术和方法,挖掘目标系统的安全漏洞,取得系统的控制权,访问系统的机密数据,并发现可能影响业务持续运作安全隐患的一种安全测试和评估方式。
渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固建议, 帮助客户提升系统的安全性。
渗透测试按方法分类
黑盒测试:是指测试人员在不清楚被测单位内部技术架构的情况下,从外部对网络设施的安全性进行测试的过程。黑盒测试借助于真实世界的黑客方法,黑客工具,有组织有步骤的对目标系统进行逐步的渗透和入侵,揭示目标系统中一些已知的和未知的安全漏洞,并评估这些漏洞是否可以被不法分子利用,并造成业务和资产损失。
白盒测试: 测试人员可以获取被测单位的网络结构和各种底层技术. 在此基础上,使用针对性的测试方法和工具,可以以较小的代价发现和验证系统最严重的安全漏洞 。 两者各有利弊,需结合进行。
灰盒测试:渗透测试人员可以根据对目标系统获取的有限的知识和信息,选择渗透测试的最佳路径,渗透测试者也需要从外部逐渐的渗透进入内部网络,同时,他们所拥有的目标网络底层拓扑结构有助于他更好的选择攻击途径和方法,从而达到更好的渗透测试效果。
渗透测试按目标分类
1、主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。
3、应用系统渗透
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。
4、网络设备渗透
对各种防火墙、入侵检测系统、网络设备进行渗透测试
渗透测试怎么学?
如果你想自学的话,此渗透测试学习路径可供你参考:
