渗透测试是许多公司遵循的方法,以最大限度地减少安全漏洞.这是一种雇佣专业人员的受控方式,他会试图破解你的系统并向你展示你应该修复的漏洞.
在进行渗透测试之前,必须签订协议这将明确提及以下参数 :
渗透测试的时间是什么,
这将是攻击的IP源,
系统的渗透字段是什么.
渗透测试由专业道德黑客进行,他们主要使用商业,开源工具,自动化工具和人工检查.没有限制;这里最重要的目标是发现尽可能多的安全漏洞.
我们有五种类型的渗透测试 :
黑匣子 : 在这里,道德黑客没有关于他试图渗透的组织的基础设施或网络的任何信息.在黑盒渗透测试中,黑客试图通过自己的方式查找信息.
灰盒 : 这是一种渗透测试,其中道德黑客对基础设施有部分了解,例如域名服务器.
白盒 : 在白盒渗透测试中,道德黑客会获得有关他需要渗透的基础架构和组织网络的所有必要信息.
外部渗透测试 : 此类渗透测试主要关注网络基础架构或服务器及其在基础架构下运行的软件.在这种情况下,道德黑客通过Internet使用公共网络尝试攻击.黑客企图通过攻击他们的网页,网络服务器,公共DNS服务器等来攻击公司基础设施.
内部渗透测试 ;在这种类型的渗透测试中,道德黑客在公司网络内部并从那里进行测试.
渗透测试可以还会导致系统故障,系统崩溃或数据丢失等问题.因此,在进行渗透测试之前,公司应该采取计算风险.风险计算如下,这是一种管理风险.
风险=威胁×漏洞
您有一个正在投入生产的在线电子商务网站.您希望在投入使用之前进行渗透测试.在这里,你必须首先权衡利弊.如果继续进行渗透测试,可能会导致服务中断.相反,如果您不希望执行渗透测试,那么您可能会面临一个未受修补的漏洞的风险,该漏洞将一直作为威胁保留.
在执行之前渗透测试,建议您以书面形式放下项目范围.你应该清楚要测试什么.例如 :
您的公司有VPN或任何其他远程访问技术,您想要测试该特定点.
您的应用程序具有包含数据库的Web服务器,因此您可能希望对SQL注入攻击进行测试,这是对Web服务器最重要的测试之一.此外,您可以检查您的网络服务器是否对DoS攻击免疫.
在进行渗透测试之前,您应记住以下几点,并记下;
首先了解您的要求和评估所有风险.
聘请认证人员进行渗透测试,因为他们接受过培训,可以应用所有可能的方法和技术来发现网络中可能存在的漏洞或
在进行渗透测试之前,请务必签署协议.
