渗透测试简介及方法与意义

2023-10-21 理论教育版权反馈

【摘要】：渗透测试是一种全新的安全防护思路，将安全防护从被动转换成了主动。渗透测试是由专业安全公司模仿黑客，针对授权企业目标进行安全检测的方法。Web渗透测试包含信息收集阶段、渗透测试执行阶段、分析阶段三个主要工作阶段[1]。在渗透测试结果的基础上进一步分析、挖掘引起这些问题的漏洞可能导致的其他后果及影响，检查是否可以做漏洞利用，或是真正的越权取得信息，抑或是可以进一步利用从而最终获得应用或操作系统的权限。

对于大多数企业而言，Web应用程序是其核心组件。Web应用程序用途广泛，通常用于获得、处理、存储和传输敏感数据，承载着丰富功能和用途的Web应用程序也逐渐成为黑客和恶意用户等攻击者的主要攻击目标。渗透测试是一种全新的安全防护思路，将安全防护从被动转换成了主动。正是因为看到了这一点，很多重点行业的企业越来越多地通过独立的第三方安全机构来进行“渗透测试”，以求更好的安全防护效果。渗透测试是由专业安全公司模仿黑客，针对授权企业目标进行安全检测的方法。这个检测过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这种分析是站在攻击者角度进行的主动性探测，因此会发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点。

Web渗透测试完全模仿黑客基于OWASP Top 10，针对授权企业进行黑盒测试的方法。Web渗透测试包含信息收集阶段、渗透测试执行阶段、分析阶段三个主要工作阶段[1]。信息收集的过程是渗透测试的最基础也是最重要的部分，它为之后的渗透测试执行工作提供了最基本的信息，进而缩小了目标范围，使渗透测试执行简单高效，减少不必要的麻烦，信息收集包括系统架构信息、服务器信息、漏洞信息等内容的收集。在已有的信息收集的基础上进行先后、有重点地针对性测试，如针对SQL注入漏洞和任意文件上传漏洞进行渗透测试。在渗透测试结果的基础上进一步分析、挖掘引起这些问题的漏洞可能导致的其他后果及影响，检查是否可以做漏洞利用，或是真正的越权取得信息，抑或是可以进一步利用从而最终获得应用或操作系统的权限。(www.chuimin.cn)

渗透测试简介及方法与意义

相关推荐