新聞詳情
滲透測試的測試方法
日期:2025-05-01 23:22
瀏覽次數(shù):753
摘要:
有些滲透測試人員通過使用兩套掃描器進行**評估。這些工具至少能夠使整個過程實現(xiàn)部分自動化,這樣,技術(shù)嫻熟的專業(yè)人員就可以專注于所發(fā)現(xiàn)的問題。如果探查得更深入,則需要連接到任何可疑服務(wù),某些情況下,還要利用漏洞。
商用漏洞掃描工具在實際應(yīng)用中存在一個重要的問題:如果它所做的測試未能獲得肯定答案,許多產(chǎn)品往往會隱藏測試結(jié)果。譬如,有一款知名掃描器就存在這樣的缺點:要是它無法進入Cisco路由器,或者無法用SNMP獲得其軟件版本號,它就不會做出這樣的警告:該路由器容易受到某些拒絕服務(wù)(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對某種漏洞進行測試),你可能誤以為網(wǎng)絡(luò)是**的,而實際上,網(wǎng)絡(luò)的**狀況可能是危險的。
除了找到合適工具以及具備資質(zhì)的組織進行滲透測試外,還應(yīng)該準確確定測試范圍。攻擊者會借助社會工程學(xué)、偷竊、賄賂或者破門而入等手法,獲得有關(guān)信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業(yè)網(wǎng)絡(luò)的。通過該網(wǎng)絡(luò)再攻擊其它公司往往是黑客的慣用伎倆。攻擊者甚至?xí)ㄟ^這種方法進入企業(yè)的ISP。