新聞詳情
滲透測試的測試方法
日期:2024-08-21 00:23
瀏覽次數:699
摘要:
有些滲透測試人員通過使用兩套掃描器進行**評估。這些工具至少能夠使整個過程實現部分自動化,這樣,技術嫻熟的專業(yè)人員就可以專注于所發(fā)現的問題。如果探查得更深入,則需要連接到任何可疑服務,某些情況下,還要利用漏洞。
商用漏洞掃描工具在實際應用中存在一個重要的問題:如果它所做的測試未能獲得肯定答案,許多產品往往會隱藏測試結果。譬如,有一款知名掃描器就存在這樣的缺點:要是它無法進入Cisco路由器,或者無法用SNMP獲得其軟件版本號,它就不會做出這樣的警告:該路由器容易受到某些拒絕服務(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對某種漏洞進行測試),你可能誤以為網絡是**的,而實際上,網絡的**狀況可能是危險的。
除了找到合適工具以及具備資質的組織進行滲透測試外,還應該準確確定測試范圍。攻擊者會借助社會工程學、偷竊、賄賂或者破門而入等手法,獲得有關信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業(yè)網絡的。通過該網絡再攻擊其它公司往往是黑客的慣用伎倆。攻擊者甚至會通過這種方法進入企業(yè)的ISP。