滲透的本質(zhì)是一個不斷提高其權(quán)限的過程。黑客可以通過提高目標(biāo)系統(tǒng)的權(quán)限獲得更多關(guān)于目標(biāo)系統(tǒng)的敏感信息,我們也可以通過滲透評估目標(biāo)系統(tǒng)的信息安全風(fēng)險。滲透較重要的環(huán)節(jié)是目標(biāo)系統(tǒng)Web應(yīng)用程序進行滲透試驗,找出Web因此,滲透試驗是應(yīng)用的安全漏洞Web安全防護的第一步也是進一步深度防御的敲門磚。
1、滲透概念
什么是滲透?滲透英文名稱penetration test,簡稱為pentest。滲透沒有標(biāo)準(zhǔn)的定義一些安全組織達成共識的一般說法是,滲透是指模擬攻擊者入侵以評估計算機系統(tǒng)安全的行為,這是一種授權(quán)行為。該過程包括積極分析系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞,這是從攻擊者可能存在的位置進行的,并有條件積極利用該位置的安全漏洞。換句話說,滲透是指滲透人員在不同位置(如內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)等位置)使用各種方法特定網(wǎng)絡(luò),發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞,然后輸出滲透報告并提交給網(wǎng)絡(luò)所有者。根據(jù)滲透人員提供的滲透報告,網(wǎng)絡(luò)所有者可以清楚地了解系統(tǒng)中存在的安全風(fēng)險和問題。滲透還具有兩個明顯的特點:滲透是一個漸進、逐步深入、持續(xù)改進權(quán)限的過程;滲透的選擇不影響業(yè)務(wù)系統(tǒng)的正常運行。想象一下:實時更新網(wǎng)絡(luò)安全策略。也做好了相關(guān)的網(wǎng)絡(luò)安全加固,部署了相關(guān)的安全產(chǎn)品,確保所有的安全問題都得到了解決。為什么進行滲透?因為滲透可以獨立檢測你的網(wǎng)絡(luò)的安全風(fēng)險和問題,換句話說,它為你的系統(tǒng)安裝了一雙金眼睛!
2、滲透試驗過程
滲透一般分為黑盒和白盒,在大多數(shù)情況下是黑盒。滲透過程一般分為信息收集、制定滲透計劃和實施、積累目標(biāo)信息、分析信息、進一步攻擊、獲取目標(biāo)系統(tǒng)權(quán)限、提高目標(biāo)系統(tǒng)權(quán)限、進入內(nèi)部網(wǎng)絡(luò)、域控滲透、控制整個內(nèi)部網(wǎng)絡(luò)、對目標(biāo)提出安全建議。這是一些滲透過程,每一步都是決定是否繼續(xù)滲透的關(guān)鍵。
3、滲透思路
我們以“以攻促防”的思想為前提,大致敘述下滲透的思路。我們敘述它的主要目的是讓大家學(xué)會從攻擊者的角度促進網(wǎng)絡(luò)安全的防御,這樣,大家才能夠真正地意識到網(wǎng)絡(luò)攻擊的危害性,能夠更好地保護自己的網(wǎng)絡(luò)和保護自己的網(wǎng)絡(luò)中的重要資產(chǎn)信息。以下是在平時進行滲透的時候,習(xí)慣使用的一些滲透思路,這些思路可幫助滲透工程師迅速找到突破口
產(chǎn)品推薦