渗透测试

渗透测试,通过各种方法(包括软件攻击)发现软件系统的安全漏洞,并通过这些漏洞获取软件系统的访问权限或者数据。 渗透测试的目标可以是白盒系统(知道系统的后台细节信息)或者是黑盒系统(不知道系统的后台信息),它可以帮助发现一个软件系统是不是存在安全漏洞可以用于攻击,可以用于判断一个系统是不是足够抵御各种攻击。

渗透测试一般主要依靠人工进行,其测试结果质量的高低主要也依赖于测试人员的经验,所以渗透测试一般都是由经验丰富的专业安全测试人员来进行,否则很难达到预期的测试效果。

渗透测试的目标包括:

  1. 确定特定的攻击可行性
  2. 按照特定的顺序组合一系列低危险漏洞来发现一个高危漏洞
  3. 发现那些不能通过自动化安全扫描工具发现的漏洞
  4. 评估一个成功的攻击能造成多大的影响
  5. 测试网络的防御能力
  6. 提供证据用以支持增加对于安全人员和技术的投入

虽然渗透测试主要靠人工进行,但是有很多安全工具可以辅助它并增加其效率。

部分辅助工具: