信息安全技术的的资料渗透.pptVIP

信息安全技术交流 渗透测试 人派市网安计算机安会检技术有限公司  深圳市网安计算机安全检测技术有限公司 深圳市网安计算机安全检测技术有限公司 主讲内容 关于渗透测试 渗透测试常见WB漏洞 部分渗透测试工具介绍 四、安全漏洞风险等级定义 五、常见攻击及防御  深圳市网安计算机安全检测技术有限公司 什么是渗透测试 安全检测主要有以下几种方式:渗透测试、审计和评估。 现实中,单一的检测方式可能无法达到预期的效果。在检 测系统安全的时候,通常根据不同的阶段和环境选择合适 的测试方式。渗透测试为最直接的检测方式,可以为安全 防御提供最有价值的信息。渗透测试的结果不仅是要评估 目标系统或者网络的安全性,还要决定成功攻击的可行性 和风险等级。  深圳市网安计算机安全检测技术有限公司 渗透测试标准流程 渗透测试( Penetration test)是指安全渗透测试者尽可能完整地模拟 黑客使用的漏洞发现技术和攻击手段,对目标网络/主机/数据库/应用 的安全性作深入的探测,发现系统最脆弱的环节的过程。 目前,安全业界比扰流行的开源惨透测试方法体系标准包括以下几个。 1.安全测试方法学开源手册( OSSTMM 2. NIST SP800-42网络安全测试指南(NIST) SP十大Web应用安全威胁项目( OWASP Top10) 4.Web安全威胁分类标准(WASC-TC) 5.PTES渗透测试执行标准(PTES)  深圳市网安计算机安全检测技术有限公司 OWASP ToP 10 针对目前最普遍的Web应用层,为安全测试人员和开发者提供了如何 识别与避免这些安全威胁的指南。 OWASP十大Web应用安全威胁项目 ( OWASP Top Ten)只关注具有最高风险的Web领域,而不是一个普 适性的渗透测试方法指南。 信息收集 数据验证测 拒绝服务测 配置管理测 授权测试 WEB服务测 认证测试 会话管理测 AJAX测试  深圳市网安计算机安全检测技术有限公司 PTES渗透测试执行标准是由安全业界多家领军企业技术专家所共同发起的,期望 为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则 TES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同,具体包 前期交互阶段情报搜集阶 威胁建模阶段漏洞分析阶段 渗透政击阶段↓后渗透攻击阶 渗透测试过程环节 段 报告  深圳市网安计算机安全检测技术有限公司 渗透测试的分类 实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期 中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种 分类方法如下 根据渗透方法分类根据渗透目标分类 黑箱测试 主机操作系统渗透 白盒测试 数据库系统渗透 隐秘测试 应用系统渗透 网络设备渗透  深圳市网安计算机安全检测技术有限公司 渗透测试的分类 实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期 中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种 分类方法如下 根据渗透方法分类 黑箱测试又被称为所调的 Zero-Know ledge Testing 渗透者完全处于对系统一无所 黑箱测试 知的状态,通常这类型测试 白盒测试 最初的信息获取来自于DNS Web、 Ema i1及各种公开对外的 隐秘测试 服务器  深圳市网安计算机安全检测技术有限公司 渗透测试的分类 实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期 中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种 分类方法如下 根据渗透方法分类 白盒测试与黑箱测试恰恰相反,测 试者可以通过正常渠道向被测单位 取得各种资料,包括网络拓扑、员 黑箱测试 工资料甚至网站或其它程序的代码 片断,也能够与单位的其它员工 白盒测试 (销售、程序员、管理者……) 隐秘测试 进行面对面的沟通。这类测试的目 的是模拟企业内部雇员的越权操作。  深圳市网安计算机安全检测技术有限公司 渗透测试的分类 实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期 中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种 分类方法如下 根据渗透方法分类 隐秘测试是对被测单位而言的, 常情况下,接受渗透测试的单位网 络管理部门会收到通知:在某些时 黑箱测试 段进行测试。因此能够监测网络中 出现的变化。但隐秘测试则被测单 白盒测试 位也仅有极少数人知晓测试的存在 隐秘测试 因此能够有效地检验单位中的信息 安全事件监控、响应、恢复做得是 否到位。