1.渗透测试基础及信息收集.pdf

渗透测试基础 1 课程简介 本课程主要讲解了渗透测试方面的基础知识、渗透测试概念、意义、 方法、分类等，还讲解了信息收集的常见方法，最重要的是使用搜索 引擎。 学习目标 了解渗透测试基础知识 学会收集信息 课程目录 渗透测试概述 信息收集 总结 渗透测试概念 渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标 系统的安全做深入的探测，发现系统最脆弱的环节，能直观的让管理 员知道自己网络所面临的问题。所以渗透测试是安全评估的方法之一。 特点： 1、渗透测试是一个渐进的并且逐步深入的过程。 2、渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。 渗透测试意义 渗透测试，是为了证明网络防御按照预期计划正常运行而提供的一种 机制,换一句话来说,就是证明一下之前所做过的措施是可以实现的,然 后再寻找一些原来没有发现过的问题,这个就是渗透测试。 许多时候,无论是网站还是系统的开发者,在开发过程中乃至结束都很 难会注意到所开发的应用的安全问题,这样就造成了大量的存在瑕疵的 应用暴露于外部网络之上,直接就触生了信息安全的产生;渗透测试在 于发现问题、解决问题。经过专业人员渗透测试加固后的系统也会随 之变得更加坚固、稳定、安全。 渗透测试执行 有一个常见的误解：  是认为渗透测试只是使用一些时髦的自动化安全工具，并处理所 生成的报告。但是，成功执行一个渗透测试并不仅仅是需要安全 工具。虽然这些自动化安全测试工具在实践中扮演了重要的角色， 但是它们也是有缺点的。 更多的是靠人工、思维、经验。 渗透测试目的 了解入侵者可 能利用的途径 了解系统及网络 的安全强度 入侵者可能利用的途径 咨询不当 揭露或篡 系统及应 改 防火墙设 用程序设 定问题 定问题 可能是一个 系统及应 网络架构 问题，也可 设计问题 能是数个问 用程序漏 题结合而成 洞 渗透测试分类 根据渗透方法和视角分类，渗透测试可以分为—— A 、黑盒测试 “zero-knowledge testing ”/ （黑盒子Black Box） B、白盒测试 C、灰盒子(Gray Box) 黑盒测试 黑盒测试“zero-knowledge testing”/ （黑盒子Black Box） 渗透者完全处于对系统一无所知的状态。除了被测试目标的已知公 开信息外，不提供任何其他信息。一般只从组织的外部进行渗透测试。