渗透测试分类及流程
2020-06-12 本文已影响0人
发愤图强的敏敏子
1、渗透测试
渗透测试就是模拟恶意攻击者的技术和方法对目标系统发起攻击,挫败目标系统的安全体系,获得控制权,并发现影响业务的安全隐患的安全测试和评估方式。
2、渗透测试的分类
1、黑盒测试:透测试团队将从一个远程网络位置来评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息;
2、白盒测试:进行白盒测试的团队将可以了解到关于目标环境的所有内部与底层知识,如:源码等;
3、灰盒测试:提供部分基础信息,如:资产、账号密码等;
3、目标分类
1、主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
2、数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。
3、应用系统渗透
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。
4、网络设备渗透
对各种防火墙、入侵检测系统、网络设备进行渗透测试。
4、渗透测试的方法和流程:
前期交互;
情报收集;
威胁建模;
漏洞分析;
渗透测试;
后渗透测试攻击;
报告。