前言:在当下,渗透测试已为公众所知,它是为了证明网络防御按照预期计划正常运行而提供的一种机制。那么渗透测试包括哪五个阶段?我们一起来看看详细的内容介绍。 渗透测试往往会涉及到模拟破坏任意数量的应用程序或系统,其中包括:应用程序的协议接口、前端或后端服务器、安全基础设施以及利用漏
在当下,“渗透测试”已为公众所知,它是为了证明网络防御按照预期计划正常运行而提供的一种机制。那么渗透测试包括哪五个阶段?我们一起来看看详细的内容介绍。
渗透测试往往会涉及到模拟破坏任意数量的应用程序或系统,其中包括:应用程序的协议接口、前端或后端服务器、安全基础设施以及利用漏洞植入代码或窃取敏感数据等。一般情况下,渗透测试包括这五个阶段:
第一阶段:计划和侦察
此阶段主要包括:定义待测试的范围、优先级和目标。同时,此阶段还会说明关键系统的主要特征,以及即将执行的测试类型。
而侦察阶段与情报的收集有关。比如:以被动和主动的方式,获取与目标系统相关的网络、域名以及邮件服务器等信息,以便更好地了解待测目标的工作原理,及其潜在的切入口。
第二阶段:扫描
该阶段主要涉及到了解目标系统将如何响应各种自动化的入侵尝试以及攻击行为。渗透测试人员通常会使用如下方法:
静态分析:在服务系统运行之前,检查应用程序的源代码,通过将其与既有的编码规则进行比较,进而对其进行代码级的分析与调试。
动态分析:通过实时执行真实数据,对系统的安全性进行测试和评估。此类分析的目标是,通过采用自动化的安全扫描工具,对应用程序或系统执行扫描,进而实时发现各种错误与漏洞。
静态或者动态分析之后,我们需要通过手动验证已发现的漏洞和错误,以消除各种误报。
第三阶段:获得访问或利用的权限
在前面阶段已被识别出的各种漏洞,将会在此时被想方设法地利用到目标系统上,以获取访问权限,进而攫取各种有价值的信息。具体的利用方式有很多,比如:提升权限、拦截流量、注入恶意代码等。它们在攻击方式上各有侧重点,所造成的损害程度也不尽相同。
第四阶段:保持访问
此阶段的主要目标是:确保攻击在获得对应用程序或底层系统的访问权限之后,仍然可以保持持续的访问状态。毕竟,只要攻击者能够维持对系统长期有效的访问权限,他们就能够更深、更远地接触到其他相关应用。可以说,渗透测试人员需要在本阶段通过模仿和检测,发现那些长期驻留在系统中、且尚未被检测到的高级持续威胁。
第五阶段:分析和报告
最后,我们需要将测试结果编译成详细的报告。而报告的主体应当主要能够反应出可以被利用的漏洞、易于被破坏和访问的敏感数据、以及安全测试人员在被发现之前,可以在系统中驻留的时长。
基于互联网行业对网络安全人才的需求,老男孩教育网络安全培训课程体系从理论到实战逐步发展,旨在培养符合企业标准的it精英。
文章出自:http://qh.itpxw.cn/peixun/it/2022102972.html
文章标题:网络安全中渗透测试包括几个阶段?老男孩Web安全培训
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
老男孩教育 访问该机构站点 报名留言 加为好友 用户等级:高级会员
用户级别:0
机构名称:老男孩教育
联 系 人:任女士
联系电话:18710030740
联系手机:18710030740
在线客服:
在 线 QQ:
电子邮件:768386696@qq.com
网站域名:https://www.oldboyedu.com/
注册时间:2019-03-20 15:03
最后登录:2023-02-02 13:02
有不少想要”学Web前端开发”的小伙伴在选择学习方式的时候犹...
Java语言一直处于所有编程语言头部排名位置,因此更多的同学...
都知道Java好,但并不是所有人都能学好Java用好Java,那么想要学...
现如今有不少的同学都开始转头开始”学习UI设计”,想学习无...