admin 管理员组

文章数量: 1087139


2024年3月21日发(作者:直线轴承型号)

(解读)什么是渗透测试(PenetrationTesting)?

展开全文

(解读)什么是渗透测试(Penetration Testing)?

渗透测试(Penetration Testing),也称为Pen Testing,是测试计算机系统、网络

或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用

自动化或手动执行。无论哪种方式,该过程都包括在测试之前收集关于目标的信息,识别

可能的入口点,试图闯入(虚拟的或真实的)并报告结果。

让我们看看WIKI上的英文解释(翻译后)

渗透测试是对计算机系统的授权模拟攻击,用于评估系统的安全性。执行测试以识别

两个缺点(也称为漏洞),包括未授权方访问系统的特征和数据的可能性,以及优点,使

得能够完成完整的风险评估。该过程通常识别目标系统和特定目标,然后审查可用信息,

并采取各种手段来实现该目标。渗透测试目标可以是白盒(提供背景和系统信息)或黑盒

(只提供基本信息或除了公司名称不提供任何信息)。灰盒穿透测试是二者的结合(其中

目标有限的知识与审计人员共享)。渗透测试可以帮助确定一个系统是否容易受到攻击,

如果防御足够,以及测试是否打败了哪些防御(如果有的话)。渗透测试发现的安全问题

应该报告给系统所有者。渗透测试报告也可以评估对组织的潜在影响,并提出降低风险的

对策。

美国国家网络安全中心(National Cyber Security Center)将渗透测试描述如下:

“一种方法,通过试图破坏某个IT系统的部分或全部安全性,使用与对手相同的工具和

技术,来获得对该IT系统的安全性的保证。”

渗透测试的目标根据针对任何给定参与的已批准活动的类型而有所不同,其中主要目

标是发现可被邪恶行为者利用的漏洞,并将这些漏洞与建议的缓解策略一起通知客户。

渗透测试是全面安全审计的一个组成部分。例如,支付卡行业数据安全标准要求在定期日

程表和系统更改之后进行渗透测试。缺陷假设方法是一种系统分析和渗透预测技术,其中

通过对系统的规范和文档的分析来编译软件系统中的假设缺陷列表。然后,根据所估计的

缺陷实际存在的概率,以及在控制或折衷的范围内易于利用该漏洞,对假设缺陷列表进行

优先级排序。优先级列表用于指导系统的实际测试。

为什么需要渗透测试?

从渗透测试的定义描述可以看出其目的。例如:Web应用程序渗透测试是通过在内

部或外部模拟未经授权的攻击来访问敏感数据的。网络渗透帮助终端用户发现黑客从因特

网访问数据的可能性,发现他们的电子邮件服务器的安全性,并且也了解网站托管站点和

服务器的安全程度。当我们谈论安全时,我们听到的最常见的词是漏洞。当我刚开始做安

全测试的时候,我经常对这个词感到困惑,我相信你们中的很多人会陷入同样的困境。

什么是漏洞(Vulnerability)?

可以这样简单的解释,漏洞是用于识别系统中可能使系统暴露于安全威胁的缺陷的术

语。

漏洞扫描和渗透测试有什么区别?


本文标签: 测试 渗透 系统 目标 发现

版权声明:本文标题:(解读)什么是渗透测试(PenetrationTesting)? 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1711002661a583647.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。