滲透測試具有的兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。 滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。 主要通過對目標系統信息的全面收集、對系統中網絡設備的探測、對服務器系統主機的漏洞掃描、對應用平臺及數據庫的安全性掃描及通過應用系統程序的安全性滲透測試等手段來完成對整個系統的安全性滲透測試。
第四章 滲透測試技術的發展趨勢 在互聯網的基礎設施已經比較完善的今天,互聯網的核心其實是由用戶數據驅動的,用戶產生業務,業務產生數據。 互聯網公司除了擁有一些固定資產,如服務器等實體設備,最核心的價值就是其擁有的用戶數據,所以安全的核心問題,是數據的安全問題。
第二章Web 滲透測試方案設計 2.1 滲透測試網站創建 為了研究 Web 滲透測試技術,我們需要一個測試用的 Web 網站,由于法律的限制, 我們不能直接去攻擊互聯網上的Web 網站,所以需要自己創建一個實驗測試用 Web 網站, 這樣不但合法,而且還有利于測試完成后做修補加固和代碼審核工作。 測試Web 網站可以創建在本地,也可以創建到自己購買的虛擬空間或云主機上,為了 方便起見,這里選擇在云平臺上的一臺Windows 2003 虛擬機系統上創建Web 網站。
后滲透階段在任何一次滲透測試過程中都是一個重要環節,后滲透階段將以特定的業務系統作為目標,識別出關鍵的基礎設施,并尋找客戶組織最具價值和嘗試進行安全保護的信息和資產,當你從一個系統攻入另一個系統時,你需要演示出能夠對客戶組織造成最重要業務影響的攻擊途徑。 報告階段是滲透測試過程中最為重要的環節,使用報告文檔交流你在滲透測試過程中做了哪些,如何做的,以及最為重要的是,客戶組織如何修復你所發現的安全漏洞與弱點。
