渗透测试基础.pdfVIP

渗透测试基础 授课老师：朱达钬 1 课程简介 本课程主要讲解了渗透测试方面的基础知识、渗透测试概念、意义、 方法、分类等，还讲解了信息收集的常见方法，最重要的是使用搜索 引擎。 学习目标 了解渗透测试基础知识 学会收集信息 课程目录 渗透测试概述 信息收集 总结 渗透测试概念 渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标 系统的安全做深入的探测，发现系统最脆弱的环节，能直观的让管理 员知道自己网络所面临的问题。所以渗透测试是安全评估的方法之一。 特点： 1、渗透测试是一个渐进的并且逐步深入的过程。 2、渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。 渗透测试意义 渗透测试，是为了证明网络防御按照预期计划正常运行而提供的一种 机制,换一句话来说,就是证明一下之前所做过的措施是可以实现的,然 后再寻找一些原来没有发现过的问题,这个就是渗透测试。 许多时候,无论是网站还是系统的开发者,在开发过程中乃至结束都很 难会注意到所开发的应用的安全问题,这样就造成了大量的存在瑕疵的 应用暴露于外部网络之上,直接就触生了信息安全的产生;渗透测试在 于发现问题、解决问题。经过专业人员渗透测试加固后的系统也会随 之变得更加坚固、稳定、安全。 渗透测试执行 有一个常见的误解是认为渗透测试只是使用一些时髦的自动化安全工 具，并处理所生成的报告。但是，成功执行一个渗透测试并不仅仅是 需要安全工具。虽然这些自动化安全测试工具在实践中扮演了重要的 角色，但是它们也是有缺点的。 更多的是靠人工、思维、经验。 渗透测试原因 渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。 这使促使许多单位开发操作规划来减少攻击或误用的威胁。 撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例，以 便证明所增加的安全性预算或者将安全性问题传达到高级管理层。 安全性不是某时刻的解决方案，而是需要严格评估的一个过程。安全 性措施需要进行定期检查，才能发现新的威胁。渗透测试和公正的安 全性分析可以使许多单位重视他们最需要的内部安全资源。 渗透测试原因 现在符合规范和法律要求也是执行业务的一个必要条件。渗透测试工 具可以帮助许多单位满足这些规范要求。 启动一个企业电子化项目的核心目标之一是实现与战略伙伴、提供商、 客户和其他电子化相关人员的紧密协作。要实现这个目标，许多单位 有时会允许合作伙伴、提供商、交易中心、客户和其他相关人员使用 可信连接方式来访问他们的网络。一个良好执行的渗透测试和安全性 审计可以帮助许多单位发现这个复杂结构中的最脆弱链路，并保证所 有连接的实体都拥有标准的安全性基线。 当拥有安全性实践和基础架构，渗透测试会对商业措施之间的反馈实 施重要的验证，同时提供了一个以最小风险而成功实现的安全性框架。 渗透测试目的 了解入侵者可 能利用的途径 了解系统及网络 的安全强度 入侵者可能利用的途径 咨询不当 揭露或篡 系统及应 改 防火墙设 用程序设