开发者社区> 异步社区> 正文

《Kali Linux渗透测试的艺术》—第2章2.1节渗透测试的种类

简介:
+关注继续查看

本节书摘来自异步社区《Kali Linux渗透测试的艺术》一书中的第2章2.1节渗透测试的种类,作者【英】Lee Allen , 【印尼】Tedi Heriyanto , 【英】Shakeel Ali,更多章节内容可以访问云栖社区“异步社区”公众号查看。

第2章 渗透测试方法论
Kali Linux渗透测试的艺术
渗透测试(penetration testing,pentest)是实施安全评估(即审计)的具体手段。方法论是在制定、实施信息安全审计方案时,需要遵循的规则、惯例和过程。人们在评估网络、应用、系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结出了一套理论——测试方法论。本章简要介绍了渗透测试方法论的各关键要点,涉及的主题包括:

两种广为认知的渗透测试类型——黑盒测试和白盒测试;
漏洞评估和渗透测试的区别;
业界普遍采纳的安全测试方法论,以及其核心功能、特征和优势;
典型的渗透测试所涉及的10个阶段;
安全测试的道德准则。
渗透测试可能是单独进行的一项工作,也可能是常规研发生命周期(例如,Microsoft SDLC)里 IT 安全风险管理的一个组成部分。产品的安全性并不完全取决于 IT 方面的技术因素,还会受到与该产品有关的最佳安全实践的影响。具体而言,增强产品安全性的工作涉及安全需求分析、风险分析、威胁建模、代码审查和运营安全。

通常认为,渗透测试是安全评估最终的也是最具侵犯性的形式,它必须由符合资质的专业人士实施。在进行评估之前,有关人员可能了解也可能不了解目标的具体情况。渗透测试可用于评估所有的IT基础设施,包括应用程序、网络设备、操作系统、通信设备、物理安全和人类心理学。渗透测试的工作成果就是一份渗透测试报告。这种报告分为多个部分阐述在当前的目标系统里找到的安全弱点,并且会讨论可行的对抗措施和其他改进建议。充分应用渗透测试方法论,有助于测试人员在渗透测试的各个阶段深入理解并透彻分析当前存在的防御措施。

2.1 渗透测试的种类
Kali Linux渗透测试的艺术
虽然渗透测试各种各样,但是业内普遍将其划分为两类:白盒测试和黑盒测试。

2.1.1 黑盒测试
在进行黑盒测试时,安全审计员在不清楚被被测单位的内部技术构造的情况下,从外部评估网络基础设施的安全性。在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术,暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。渗透测试人员应能理解安全弱点,将之分类并按照风险级别(高、中、低)对其排序。通常来说,风险级别取决于相关弱点可能形成的危害的大小。老练的渗透测试专家应能确定可引发安全事故的所有攻击模式。当测试人员完成黑盒测试的所有测试工作之后,他们会把与测试对象安全状况有关的必要信息进行整理,并使用业务的语言描述这些被识别出来的风险,继而将之汇总为书面报告。黑盒测试的市场报价通常会高于白盒测试。

2.1.2 白盒测试
白盒测试的审计员可以获取被测单位的各种内部资料甚至不公开资料,所以渗透测试人员的视野更为开阔。若以白盒测试的方法评估安全漏洞,测试人员可以以最小的工作量达到最高的评估精确度。白盒测试从被测系统环境自身出发,全面消除内部安全问题,从而增加了从单位外部渗透系统的难度。黑盒测试起不到这样的作用。白盒测试所需的步骤数目与黑盒测试不相上下。另外,若能将白盒测试与常规的研发生命周期相结合,就可以在入侵者发现甚至利用安全弱点之前,尽可能最早地消除全部安全隐患。这使得白盒测试的时间、成本,以及发现、解决安全弱点的技术门槛都全面低于黑盒测试。

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用VMware虚拟机安装kali Linux
使用VMware虚拟机安装kali Linux
37 0
linux切换到root用户,kali怎么切换root身份运行
linux切换到root用户,kali怎么切换root身份运行
14 0
kali linux学习详细笔记
报告是你工作中最重要的一环。相关工作完成后,但是漏洞扫描程序提供的报告将有助于你了解从哪里开始人手。当我们开始查看漏洞扫描程序报告时,有两件事需要注意。一些易受攻击的系统用于趣味性的演示案例。确保让所有漏洞数据库处于最新的状态不会让我们看到更多的东西。产生的错误信息向Oper,此重要的函数,比如读取和写人文件,获得对硬件的访系统调用主要用于
105 0
kali linux
Kali Linux入门 Kali Linux是Linux操作系统的特别发行版本。它的目标用户是那些希望从事信息安全工作的人。这可能是安全性测试,也可能是漏洞利用开发或逆向工程, 也可能是数字取证。 Linux 发行版之间并不是完全一样的。Linux 实际上只是内核,即实际的操作系统和发行版核心。每个发行版都在该核心之上添加额外的软件,使其变得与众不同。就Kali而言,外层不仅包含基本的实用程序,还有数百个特定于信息安全工作的软件包。 Linux有一个很棒的优点,特别是和其他操作系统相比,它几乎是完全可定制的。这包括你键人命令使用的Shell程序和图形化桌面。除此之外,你还可以改变上述程序的外
103 0
某教程学习笔记(一):2、Linux基础(Kali Linux 2020.01)
某教程学习笔记(一):2、Linux基础(Kali Linux 2020.01)
78 0
kali linux 配置 xrdp 远程桌面服务
今天误打误撞完成了 kali 下的 xrdp 配置
152 0
Kali Linux渗透
Kali Linux渗透有关内容
80 0
【亲测有效】Kali Linux无法安装网易云音乐的解决方案
【亲测有效】Kali Linux无法安装网易云音乐的解决方案
82 0
Kali linux安装
Kali linux安装
191 0
VMware虚拟机下安装Kali Linux 2021.1系统
VMware虚拟机下安装Kali Linux 2021.1系统
150 0
+关注
异步社区
异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
ECS运维指南 之 Linux系统诊断
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
相关实验场景
更多
相关镜像