道德黑客 - 渗透测试


渗透测试是许多公司为了最大限度地减少安全漏洞而遵循的一种方法。这是一种雇用专业人员的受控方式,他们会尝试破解您的系统并向您展示应该修复的漏洞。

在进行渗透测试之前,必须达成一项协议,明确提及以下参数 -

  • 渗透测试的时间是什么时候,

  • 攻击的 IP 源在哪里,以及

  • 系统的渗透领域是什么?

渗透测试由专业道德黑客进行,主要使用商业、开源工具、自动化工具和手动检查。没有任何限制;这里最重要的目标是发现尽可能多的安全漏洞。

渗透测试的类型

我们有五种类型的渗透测试 -

  • 黑匣子- 在这里,道德黑客没有任何有关他试图渗透的组织的基础设施或网络的信息。在黑盒渗透测试中,黑客试图通过自己的方式找到信息。

  • 灰盒- 这是一种渗透测试,其中道德黑客对基础设施有部分了解,例如其域名服务器。

  • 白盒- 在白盒渗透测试中,道德黑客获得了有关他需要渗透的组织的基础设施和网络的所有必要信息。

  • 外部渗透测试- 这种类型的渗透测试主要关注网络基础设施或服务器及其在基础设施下运行的软件。在这种情况下,道德黑客尝试通过互联网使用公共网络进行攻击。黑客试图通过攻击公司的网页、网络服务器、公共 DNS 服务器等来入侵公司的基础设施。

  • 内部渗透测试- 在这种类型的渗透测试中,道德黑客位于公司网络内部并从那里进行测试。

渗透测试还会导致系统故障、系统崩溃或数据丢失等问题。因此,公司在进行渗透测试之前应该承担计算出的风险。该风险计算如下,属于管理风险。

风险 = 威胁 × 脆弱性

例子

您有一个正在制作的在线电子商务网站。您想在上线之前进行渗透测试。在这里,你首先要权衡利弊。如果继续进行渗透测试,可能会导致服务中断。相反,如果您不想执行渗透测试,那么您可能会面临未修补漏洞的风险,该漏洞将始终构成威胁。

在进行渗透测试之前,建议您以书面形式写下项目范围。您应该清楚要测试的内容。例如 -

  • 您的公司拥有 VPN 或任何其他远程访问技术,并且您想要测试该特定点。

  • 您的应用程序有带有数据库的网络服务器,因此您可能需要对其进行 SQL 注入攻击测试,这是网络服务器上最重要的测试之一。此外,您还可以检查您的网络服务器是否免受 DoS 攻击。

快速提示

在进行渗透测试之前,您应该记住以下几点 -

  • 首先了解您的要求并评估所有风险。

  • 聘请经过认证的人员进行渗透测试,因为他们接受过培训,能够应用所有可能的方法和技术来发现网络或 Web 应用程序中可能存在的漏洞。

  • 在进行渗透测试之前务必签署协议。