2014企业如何自行检查漏洞问题汇总.docxVIP

　许多企业雇佣外部公司执行渗透测试，但有些公司认为聘请外部公司本身就是一种风险，所以，为什么不攻击自己的网络去看看哪里有漏洞呢?　如何开始　你不妨像黑客一样思考，如何找到企业系统中的漏洞，并有效地揭示这些漏洞.时到今日，破坏一个网络或信息系统的基本过程并没有太多变化。这些步骤基本说来就是：　1、执行侦察　2、扫描和枚举　3、获得访问权　4、提升特权　5：维持访问并掩盖踪迹　有多种免费和收费的工具可以有效地攻击你的网络。你可能希望使用配备强大处理器和视频卡的专用硬件。至于操作系统，我们拥有Windows平台和Linux平台的好工具，但许多好工具并非跨平台的。 　快速搭建并运行一台“攻击机”的一种方法是安装一个称为BackTrack的Linux发行版。该版本预安装了许多工具，对于快速渗透测试很有用处。在你准备好一个渗透测试系统后，就可以尝试攻击自己的网络了。　执行侦察　你可以对公司的网络执行许多被动攻击。更有趣的是这些方法并不要求特定的黑客工具，也就是说，对损害公司感兴趣的人并不需要亲自发送数据包到你的网络上。　事实上，最有效的黑客工具就是“谷歌”。黑客们使用谷歌执行搜索，查找网络漏洞。让我们从一个简单的谷歌搜索开始，让我们假定贵公司的网站名称为。　例如在谷歌的搜索框中输入：site： pdf　该搜索会显示出驻存在贵公司网站上的所有pdf文件，搜索结果可能会令你大吃一惊。不妨再试几个：