官網熱線:400-100-0298
滲透測試首先對測試目標進行信息收集,判斷可能存在的入口,然后利用相關軟件應用或者手動,對計算機系統、網絡、應用程序進行安全漏洞的掃描測試,最后對測試結果進行報告。滲透測試通常用于評估計算機系統或者網絡應用的安全性,他行使的攻擊是授權之后的模擬攻擊。包含了白盒、黑盒、灰盒三種滲透測試目標。白盒,即提供目標的相應背景和系統信息。黑盒,即只提供基本信息或除了目標名稱之外不提供任何信息。灰盒,介于兩者之間,只提供有限的目標信息 滲透測試的作用在于,幫助目標確定是否存在攻擊入口,提前做好防御,以此來降低目標的潛在風險。
滲透測試最重要的一步就是信息收集。信息收集可以讓滲透者選擇合適和準確的滲透測試攻擊方式,縮短滲透測試時間。所謂知己知彼,百戰不殆,我們越了解測試目標,測試的工作就越容易。最后能否成功滲透進入目標,很大程度上取決于信息搜集。信息搜集的分類 信息收集的方式有兩種:主動和被動。1、主動式信息搜集(能獲取到較多的信息,但易被發現)通過直接發起與被測目標網絡之間的互動來獲取相關信息,這種流量將流經網站。如通過Nmap掃描目標。2、被動式信息搜集(搜集到的信息較少,但不易被發現)通過第三方服務來間接獲取目標網絡相關信息,如通過Google、fofa等搜索引擎方式來搜集信息。這兩種方式都有各自的優點和缺點,一般在滲透測試過程中,我們需要進行很多次的信息收集,同時也要運用不同的收集方式,才能保證信息收集的完整性。
上一篇:滲透測試的介紹及其七個過程分享
