恶意黑客来袭，你想好应对方案了么？

渗透测试

一种通用的解释就是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

也就是说渗透测试是在客户的允许和可控的范围内，采取可控的，不造成较大影响的黑客入侵手法，对网络和系统发起真正攻击。

渗透测试主要包括以下几个层次：

1）通讯和服务：

该层的安全问题主要体现在TCP/IP网络协议本身存在的一些漏洞，比如ping炸弹可使一台主机宕机、无需口令通过Rlogin以root身份登录到一台主机等。

2）操作系统

该层的安全问题来自网络中采用的各种操作系统，如各种Unix操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内容的黑客程序等带来的威胁。

3）应用程序

该层的安全威胁来自防火墙配置、Web站点的服务、DNS服务、拨号服务机Email服务等。

依据以上的层次划分，对渗透测试的一些总结如下表：

还可以进行深入渗透测试，这一阶段主要是扩大“渗透测试阶段”取得的成果，进一步模拟渗透者在获取目标系统低权限操作时进行权限的提升以及进一步渗透其他系统。测试方法主要有：

1）利用操作系统漏洞提升权限

2）利用Autorun.inf机制进行权限提升

3）利用其它软件漏洞进行权限提升

4）寻找其它方面的漏洞

来源：中国软件评测中心 张春芳

专业就是实力！中国软件评测中心感谢您的关注，我们在这里与您共同分享基于第三方服务的科技资讯与趣闻，欢迎加入我们。转载请注明出处。