要做網站滲透測試,首先我們要明白以下幾點:
1、什麼叫滲透測試?滲透測試最簡單直接的解釋就是:完全站在攻擊者角度對目標系統進行的安全性測試過程。
2、進行滲透測試的目的?瞭解當前系統的安全性、瞭解攻擊者可能利用的途徑。它能夠讓管理人員非常直觀的瞭解當前系統所面臨的問題。
3、滲透測試是否等同於風險評估?不是,你可以暫時理解成滲透測試屬於風險評估的一部分。事實上,風險評估遠比滲透測試複雜的多,它除滲透測試外還要加上資產識別,風險分析,除此之外,也還包括了人工審查以及後期的最佳化部分。
4、滲透測試是否就是黑盒測試?否,很多技術人員對這個問題都存在這個錯誤的理解。滲透測試不只是要模擬外部駭客的入侵,同時,防止內部人員的有意識(無意識)攻擊也是很有必要的。
5、滲透測試涉及哪些內容?技術層面主要包括網路裝置,主機,資料庫,應用系統。另外可以考慮加入社會工程學(入侵的藝術/THE ART OF INTRUSION)。
6、滲透測試有哪些不足之處?主要是投入高,風險高。而且必須是專業的網路安全團隊(或公司,像網堤安全)才能相信輸出的最終結果。看完以上內容,相信大家已經明白滲透測試是不能光靠工具的,還要有專業的人員才行。推薦還是選擇專攻網路安全這一塊的公司或團隊進行。
要做網站滲透測試,首先我們要明白以下幾點:
1、什麼叫滲透測試?滲透測試最簡單直接的解釋就是:完全站在攻擊者角度對目標系統進行的安全性測試過程。
2、進行滲透測試的目的?瞭解當前系統的安全性、瞭解攻擊者可能利用的途徑。它能夠讓管理人員非常直觀的瞭解當前系統所面臨的問題。
3、滲透測試是否等同於風險評估?不是,你可以暫時理解成滲透測試屬於風險評估的一部分。事實上,風險評估遠比滲透測試複雜的多,它除滲透測試外還要加上資產識別,風險分析,除此之外,也還包括了人工審查以及後期的最佳化部分。
4、滲透測試是否就是黑盒測試?否,很多技術人員對這個問題都存在這個錯誤的理解。滲透測試不只是要模擬外部駭客的入侵,同時,防止內部人員的有意識(無意識)攻擊也是很有必要的。
5、滲透測試涉及哪些內容?技術層面主要包括網路裝置,主機,資料庫,應用系統。另外可以考慮加入社會工程學(入侵的藝術/THE ART OF INTRUSION)。
6、滲透測試有哪些不足之處?主要是投入高,風險高。而且必須是專業的網路安全團隊(或公司,像網堤安全)才能相信輸出的最終結果。看完以上內容,相信大家已經明白滲透測試是不能光靠工具的,還要有專業的人員才行。推薦還是選擇專攻網路安全這一塊的公司或團隊進行。