关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

渗透测试

发布时间:2021-06-01 20:23:23

渗透测试(Penetration Testing),也称为Pen Testing,是测试计算机系统、网络或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用自动化或手动执行。无论哪种方式,该过程都包括在测试之前收集关于目标的信息,识别可能的入口点,试图闯入(虚拟的或真实的)并报告结果。 


渗透测试是对计算机系统的授权模拟攻击,用于评估系统的安全性。执行测试以识别两个缺点(也称为漏洞),包括未授权方访问系统的特征和数据的可能性,以及优点,使得能够完成完整的风险评估。该过程通常识别目标系统和特定目标,然后审查可用信息,并采取各种手段来实现该目标。渗透测试目标可以是白盒(提供背景和系统信息)或黑盒(只提供基本信息或除了公司名称不提供任何信息)。灰盒穿透测试是二者的结合(其中目标有限的知识与审计人员共享)。渗透测试可以帮助确定一个系统是否容易受到攻击,如果防御足够,以及测试是否打败了哪些防御(如果有的话)。渗透测试发现的安全问题应该报告给系统所有者。渗透测试报告也可以评估对组织的潜在影响,并提出降低风险的对策。

美国国家网络安全中心(National Cyber Security Center)将渗透测试描述如下:“一种方法,通过试图破坏某个IT系统的部分或全部安全性,使用与对手相同的工具和技术,来获得对该IT系统的安全性的保证。”


渗透测试的目标根据针对任何给定参与的已批准活动的类型而有所不同,其中主要目标是发现可被邪恶行为者利用的漏洞,并将这些漏洞与建议的缓解策略一起通知客户。 渗透测试是全面安全审计的一个组成部分。例如,支付卡行业数据安全标准要求在定期日程表和系统更改之后进行渗透测试。缺陷假设方法是一种系统分析和渗透预测技术,其中通过对系统的规范和文档的分析来编译软件系统中的假设缺陷列表。然后,根据所估计的缺陷实际存在的概率,以及在控制或折衷的范围内易于利用该漏洞,对假设缺陷列表进行优先级排序。优先级列表用于指导系统的实际测试。


为什么需要渗透测试?


从渗透测试的定义描述可以看出其目的。例如:Web应用程序渗透测试是通过在内部或外部模拟未经授权的攻击来访问敏感数据的。网络渗透帮助终端用户发现黑客从因特网访问数据的可能性,发现他们的电子邮件服务器的安全性,并且也了解网站托管站点和服务器的安全程度。当我们谈论安全时,我们听到的最常见的词是漏洞。当我刚开始做安全测试的时候,我经常对这个词感到困惑,我相信你们中的很多人会陷入同样的困境。

什么是漏洞(Vulnerability)?


可以这样简单的解释,漏洞是用于识别系统中可能使系统暴露于安全威胁的缺陷的术语。

漏洞扫描和渗透测试有什么区别?


漏洞扫描允许用户发现应用程序中的已知弱点,并定义修复和提高应用程序整体安全性的方法。它基本上查明是否安装了安全补丁,系统是否正确地配置为使攻击变得困难。而渗透测试主要模拟实时系统,帮助用户了解系统是否可以被未经授权的用户访问,如果是,那么会造成什么损害,以及哪些数据等。因此,漏洞扫描是一种侦测控制方法,它提出了改进安全程序和确保已知缺陷不重新出现的方法,而渗透测试是一种预防控制方法,它给出了系统现有安全层的总体视图。虽然,这两种方法都有其重要性,但它将取决于作为测试的一部分真正期望的内容。作为测试人员,在我们开始测试之前,必须明确测试的目的。如果您清楚目标,那么您可以很好地定义是否需要进行漏洞扫描或渗透测试。



实施渗透测试的重要性如下:


    渗透测试有助于识别未知的漏洞。
    帮助检查总体安全政策的有效性。
    帮助测试公开的组件,如防火墙、路由器和DNS。
    让用户找出最易受攻击的路线 
    帮助发现可能导致敏感数据被盗的漏洞。


我们的优势:


⑴ 可检测各种材料;金属、非金属材料;磁性、非磁性材料;焊接、锻造、轧制等加工方式;

⑵ 具有较高的灵敏度(可发现:0.1μm宽缺陷);

⑶ 显示直观、操作方便、检测费用低。


/template/Home/Zkeys3/PC/Static