渗透测试 - 道德黑客

---

互联网的快速发展改变了每个人的生活方式。如今，大多数私人和公共工程都依赖于互联网。政府的所有秘密工作计划和操作都是基于互联网的。所有这些都使生活变得非常简单和容易。

但在好消息的同时，这一发展也有一个阴暗面，即犯罪黑客。这些犯罪黑客没有地缘政治限制，他们可以入侵世界任何地方的任何系统。它们可能会严重损坏机密数据和信用记录。

因此，为了防止黑客犯罪，道德黑客的概念应运而生。本章讨论道德黑客的概念和角色。

谁是道德黑客？

道德黑客是合法允许侵入计算机系统的计算机专家，其目的是防止犯罪黑客的侵害。道德黑客会识别系统的漏洞和风险，并建议如何消除它们。

谁是犯罪黑客？

犯罪黑客是那些侵入他人系统的计算机编程专家，其目的是窃取数据、窃取金钱、诽谤他人信用、破坏他人数据、勒索他人等。

犯罪黑客可以做什么？

一旦系统被黑客入侵，犯罪黑客就可以利用该系统做任何事情。以下两张由 CC Palmer 发布在 pdf.textfiles.com 上的图像说明了被黑页面的简单示例 -

这是在被黑客攻击之前拍摄的网页的屏幕截图 -

而且，这是同一网页被黑客攻击后的屏幕截图 -

道德黑客的技能是什么？

专业的道德黑客拥有以下技能来以道德方式入侵系统

• 他们必须值得信赖。

• 无论他们在测试系统时发现什么风险和漏洞，都必须保密。

• 客户提供有关其系统基础设施的机密信息，例如 IP 地址、密码等。道德黑客需要对这些信息保密。

• 道德黑客必须具备丰富的计算机编程、网络和硬件知识。

• 他们应该具有良好的分析能力，能够提前分析情况并推测风险。

• 他们应该具备管理技能和耐心，因为笔测试可能需要一天、一周甚至更长时间。

道德黑客做什么？

道德黑客在进行渗透测试时，基本上会尝试找到以下问题的答案 -

• 犯罪黑客可以攻击哪些弱点？
• 犯罪黑客可以在目标系统上看到什么？
• 犯罪黑客可以利用这些机密信息做什么？

此外，道德黑客需要充分解决他发现目标系统中存在的漏洞和风险。他需要解释并建议回避程序。最后，准备一份关于他在执行渗透测试时所做和观察到的所有道德活动的最终报告。

黑客的类型

黑客通常分为三类。

黑帽黑客

“黑帽黑客”是指拥有大量计算机软件和硬件的个人，其目的是破坏或绕过他人的互联网安全。黑帽黑客也被称为破解者或黑暗面黑客。

白帽黑客

“白帽黑客”一词是指有道德的计算机黑客，是计算机安全专家，专门从事渗透测试和其他相关测试方法。他的主要职责是确保组织信息系统的安全。

灰帽黑客

“灰帽黑客”一词是指破解计算机安全系统的计算机黑客，其道德标准介于纯粹道德和纯粹恶意之间。