渗透测试具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。 渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。 主要通过对目标系统信息的全面收集、对系统中网络设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透测试。
第四章 渗透测试技术的发展趋势 在互联网的基础设施已经比较完善的今天,互联网的核心其实是由用户数据驱动的,用户产生业务,业务产生数据。 互联网公司除了拥有一些固定资产,如服务器等实体设备,最核心的价值就是其拥有的用户数据,所以安全的核心问题,是数据的安全问题。
第二章Web 渗透测试方案设计 2.1 渗透测试网站创建 为了研究 Web 渗透测试技术,我们需要一个测试用的 Web 网站,由于法律的限制, 我们不能直接去攻击互联网上的Web 网站,所以需要自己创建一个实验测试用 Web 网站, 这样不但合法,而且还有利于测试完成后做修补加固和代码审核工作。 测试Web 网站可以创建在本地,也可以创建到自己购买的虚拟空间或云主机上,为了 方便起见,这里选择在云平台上的一台Windows 2003 虚拟机系统上创建Web 网站。
后渗透阶段在任何一次渗透测试过程中都是一个重要环节,后渗透阶段将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产,当你从一个系统攻入另一个系统时,你需要演示出能够对客户组织造成最重要业务影响的攻击途径。 报告阶段是渗透测试过程中最为重要的环节,使用报告文档交流你在渗透测试过程中做了哪些,如何做的,以及最为重要的是,客户组织如何修复你所发现的安全漏洞与弱点。
