古风名字,欢乐颂第三季,如何发布网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

滲透測(cè)試的種類(lèi)介紹

滲透測(cè)試是完全依賴(lài)于操作范圍的——像入侵程度就是與范圍直接關(guān)聯(lián)的。例如，有時(shí)在一個(gè)特定系統(tǒng)中發(fā)現(xiàn)漏洞就足夠了。因此，基于約定的范圍來(lái)選擇正確的滲透測(cè)試對(duì)于安全人員來(lái)說(shuō)是非常重要的。本文將介紹不同的滲透測(cè)試方法。

創(chuàng)新互聯(lián)公司網(wǎng)絡(luò)公司擁有十載的成都網(wǎng)站開(kāi)發(fā)建設(shè)經(jīng)驗(yàn)，1000多家客戶(hù)的共同信賴(lài)。提供成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、網(wǎng)站開(kāi)發(fā)、網(wǎng)站定制、買(mǎi)友情鏈接、建網(wǎng)站、網(wǎng)站搭建、成都響應(yīng)式網(wǎng)站建設(shè)公司、網(wǎng)頁(yè)設(shè)計(jì)師打造企業(yè)風(fēng)格，提供周到的售前咨詢(xún)和貼心的售后服務(wù)

滲透測(cè)試的種類(lèi)

拒絕服務(wù)（DoS）測(cè)試

拒絕服務(wù)測(cè)試指的是嘗試通過(guò)耗盡測(cè)試目標(biāo)的資源來(lái)發(fā)現(xiàn)系統(tǒng)的特定弱點(diǎn)，這種方法會(huì)導(dǎo)致系統(tǒng)停止對(duì)合法請(qǐng)求的響應(yīng)。這種測(cè)試可以使用自動(dòng)化工具或手動(dòng)執(zhí)行。各種類(lèi)型的DoS可以概括地分成軟件探索和洪水攻擊。滲透測(cè)試應(yīng)該包含多大程度的拒絕服務(wù)測(cè)試取決于信息系統(tǒng)及相關(guān)過(guò)程活動(dòng)的持續(xù)相對(duì)重要性和連續(xù)可用性。拒絕服務(wù)可以采用許多格式；以下所列是一些對(duì)測(cè)試而言比較重要的格式：

◆資源過(guò)載——這些攻擊的目的是耗盡攻擊目標(biāo)的資源（如，內(nèi)存），從而使之停止響應(yīng)。

◆洪水攻擊——是指通過(guò)發(fā)送超大數(shù)量的網(wǎng)絡(luò)請(qǐng)求來(lái)達(dá)到耗盡的目的。這種攻擊可以通過(guò)以下方式實(shí)現(xiàn)：

◆ICMP(Internet Control Message Protocol)，即所謂的“smurf”攻擊；

◆UDP (User Datagram Protocol)，即所謂的“fraggle”攻擊。

◆半開(kāi)放SYN攻擊——是指在目標(biāo)系統(tǒng)局部開(kāi)放大量的TCP連接，這樣就無(wú)法再啟動(dòng)合法連接。

◆編外攻擊——這些攻擊試圖通過(guò)破壞IP報(bào)頭標(biāo)準(zhǔn)來(lái)使目標(biāo)系統(tǒng)崩潰：

◆超大數(shù)據(jù)包（ping of death）——數(shù)據(jù)報(bào)頭顯示數(shù)據(jù)包所包含大于實(shí)際大小的數(shù)據(jù)。

◆分片（淚滴攻擊）——發(fā)送很短的重疊分片數(shù)據(jù)包（數(shù)據(jù)包片斷）。

◆IP源地址欺騙（落地攻擊）——導(dǎo)致計(jì)算機(jī)創(chuàng)建連接自己的TCP連接。

◆畸形UDP數(shù)據(jù)報(bào)頭（UDP炸彈）——UDP報(bào)頭顯示了不正確的長(zhǎng)度。
　　
應(yīng)用安全性測(cè)試

隨著企業(yè)電子化的發(fā)展，核心業(yè)務(wù)功能現(xiàn)在越來(lái)越多地通過(guò)Web應(yīng)用實(shí)現(xiàn)。雖然連接Internet的應(yīng)用使一個(gè)組織實(shí)現(xiàn)了全球客戶(hù)訪(fǎng)問(wèn)，但是給予合作伙伴訪(fǎng)問(wèn)內(nèi)部網(wǎng)的權(quán)限會(huì)帶來(lái)新的安全漏洞，即使使用了防火墻和其它監(jiān)控系統(tǒng)也一樣，安全性也可能受到威脅，因?yàn)榱髁渴潜仨毻ㄟ^(guò)防火墻的。應(yīng)用安全性測(cè)試的目標(biāo)是評(píng)估對(duì)應(yīng)用的控制（電子商務(wù)服務(wù)器、在線(xiàn)財(cái)務(wù)應(yīng)用、分布式應(yīng)用和遺留系統(tǒng)的Internet前端）和它的處理流。評(píng)估的方面可能包括應(yīng)用是否使用加密方法來(lái)保護(hù)信息的保密性和完整性，用戶(hù)是如何驗(yàn)證的，Internet用戶(hù)會(huì)話(huà)與主機(jī)應(yīng)用的完整性，以及Cookie的使用——存儲(chǔ)在客戶(hù)計(jì)算機(jī)上由Web服務(wù)器應(yīng)用所使用的一塊數(shù)據(jù)。

讓我們了解應(yīng)用測(cè)試的一些重要組件：

代碼檢查：代碼檢查指的是分析所有應(yīng)用代碼來(lái)保證它們不包含任何可被入侵者利用來(lái)攻擊應(yīng)用的敏感信息。例如：公共應(yīng)用代碼可能會(huì)包含一些測(cè)試注釋?zhuān)渲械拿Q(chēng)或明文密碼可能會(huì)給入侵者提供大量關(guān)于這個(gè)應(yīng)用的信息。

授權(quán)測(cè)試：指是測(cè)試負(fù)責(zé)初始化和維護(hù)用戶(hù)會(huì)話(huà)的系統(tǒng)。它要求測(cè)試：

◆登錄的輸入驗(yàn)證——無(wú)效字符或過(guò)長(zhǎng)的輸入可能會(huì)產(chǎn)生意外結(jié)果；

◆安全性——Cookie可能被盜取，而合法會(huì)話(huà)可能會(huì)被未授權(quán)的用戶(hù)使用；

◆帳號(hào)鎖定測(cè)試——測(cè)試應(yīng)用中設(shè)置的超時(shí)和入侵鎖定參數(shù)，保證合法會(huì)話(huà)不會(huì)被劫持。　　

這個(gè)測(cè)試是用來(lái)發(fā)現(xiàn)登錄系統(tǒng)是否可能被迫允許未授權(quán)訪(fǎng)問(wèn)。這個(gè)測(cè)試也將使用相同的技術(shù)來(lái)發(fā)現(xiàn)系統(tǒng)是否容易受到拒絕服務(wù)攻擊的影響。

功能測(cè)試：這指的是測(cè)試負(fù)責(zé)交付用戶(hù)功能的系統(tǒng)。這個(gè)測(cè)試包括：

◆輸入驗(yàn)證——無(wú)效字符、特殊URL或者過(guò)長(zhǎng)的輸入都可能會(huì)產(chǎn)生意外的結(jié)果；

◆事務(wù)測(cè)試——保證應(yīng)用執(zhí)行符合規(guī)范，并且不允許用戶(hù)濫用系統(tǒng)。　　

戰(zhàn)爭(zhēng)撥號(hào)

戰(zhàn)爭(zhēng)撥號(hào)是一種有組織地呼叫一系列電話(huà)號(hào)碼來(lái)試圖發(fā)現(xiàn)一個(gè)組織網(wǎng)絡(luò)中可能存在的調(diào)制解調(diào)器、遠(yuǎn)程訪(fǎng)問(wèn)設(shè)備和計(jì)算機(jī)的維護(hù)連接。通過(guò)使用戰(zhàn)爭(zhēng)撥號(hào)方法，黑客可能能夠定位到組織中易受攻擊的編外入口，從而操作它們來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò)。IT人員忽視了電話(huà)網(wǎng)絡(luò)，作為一個(gè)可能的主要接入端，它也是越來(lái)越多遭受此類(lèi)攻擊的主要因素之一。例如：在關(guān)鍵的網(wǎng)絡(luò)服務(wù)器、路由器和其它設(shè)備上打開(kāi)調(diào)制解調(diào)器可能會(huì)不小心將組織網(wǎng)絡(luò)的入口暴露出去。在這個(gè)測(cè)試中，一旦調(diào)制解調(diào)或其它連接設(shè)備被發(fā)現(xiàn)，那么就應(yīng)該使用分析和搜索技術(shù)來(lái)評(píng)估這個(gè)連接是否能夠用于入侵這個(gè)單位的信息系統(tǒng)網(wǎng)絡(luò)。

無(wú)線(xiàn)網(wǎng)絡(luò)的滲透測(cè)試

隨著無(wú)線(xiàn)網(wǎng)絡(luò)的出現(xiàn)，不管是在企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)還是在家里，都會(huì)造成更多的安全漏洞，而且它們比有線(xiàn)網(wǎng)絡(luò)更容易受到攻擊。因?yàn)橹挥羞吔鐭o(wú)線(xiàn)網(wǎng)絡(luò)才知道它們的信號(hào)，所以黑客更容易以“駕車(chē)”或沿辦公樓四處走動(dòng)的方式來(lái)使用無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)可用的無(wú)線(xiàn)網(wǎng)絡(luò)——這就是所謂的“戰(zhàn)爭(zhēng)駕駛”。一旦發(fā)現(xiàn)開(kāi)放的無(wú)線(xiàn)接入端，他們就會(huì)標(biāo)記下來(lái)，所以最后他就能夠得到一個(gè)帶有接入端屬性（SSID、WEP、MAC等）的無(wú)線(xiàn)網(wǎng)絡(luò)圖。無(wú)線(xiàn)網(wǎng)絡(luò)測(cè)試的目標(biāo)是確定一個(gè)組織的無(wú)線(xiàn)網(wǎng)絡(luò)的設(shè)計(jì)、實(shí)現(xiàn)或運(yùn)營(yíng)中的安全缺陷或漏洞。

社會(huì)工程

這種方法通常與盲式或雙盲式測(cè)試一起使用，社會(huì)工程指的是搜索以收集信息為目的的人類(lèi)本性（最主要是人的信任感和幫助姿態(tài)）的技術(shù)。這種方法是通過(guò)與單位員工、提供商和合同方的社會(huì)互動(dòng)來(lái)收集信息和侵入這個(gè)組織的系統(tǒng)。這些技術(shù)可能包括：

◆非面對(duì)面的方式：假裝作為IT部門(mén)的幫助臺(tái)代表，要求用戶(hù)提供他們的用戶(hù)帳號(hào)和密碼信息；

◆面對(duì)面或高級(jí)社交工程的方式：假裝為內(nèi)部員工而獲得可能帶有敏感信息的受限區(qū)域的物理訪(fǎng)問(wèn)；攔截郵件、快件或者垃圾（大型垃圾裝卸車(chē)）來(lái)搜索打印材料上的敏感信息?！　?/p>

社會(huì)工程活動(dòng)可以測(cè)試技術(shù)要求較低但同等重要的安全組件：?jiǎn)挝坏娜藛T能夠幫助或阻止對(duì)信息和信息系統(tǒng)的未授權(quán)訪(fǎng)問(wèn)。這也有助于確定員工之間安全知識(shí)的水平。

【編輯推薦】

如何執(zhí)行一個(gè)滲透測(cè)試
企業(yè)內(nèi)部滲透測(cè)試節(jié)省預(yù)算的幾點(diǎn)建議

標(biāo)題名稱(chēng)：滲透測(cè)試的種類(lèi)介紹
文章出自：http://m.fisionsoft.com.cn/article/dpjdose.html

新聞中心

其他資訊