作者丨AnishRoy译者丨夏东伟策展人丨孙淑娟【51CTO.com速译】我们每天都在使用和产生大量的数据。这些数据被医疗、金融、市场等不同行业使用。然而,如今数据泄露事件越来越猖獗,敏感信息的保护变得越来越重要。这就是黑客渗透派上用场的地方。渗透测试或道德黑客用于获取对资源的访问权限。模拟黑客攻击以发现安全漏洞并评估其优势。在本文中,您将了解什么是渗透测试以及为什么要使用它。它还强调了渗透测试的不同类型和方法。最后,本文列出了渗透测试人员使用的一些最流行的工具。什么是渗透测试?渗透测试(笔测试)涉及评估应用程序或基础设施的漏洞,可以识别系统中的许多漏洞。除此之外,它还查明了这些漏洞的原因。识别系统缺陷后,该过程将指导您如何查找和修复它们。本质上,每个检测到的漏洞都被分配了一个特定的等级。这是基于哪家公司应该优先进行修复。公司通常需要进行渗透测试以检查其系统是否存在任何漏洞。在大多数情况下,不需要混淆。但是,有时需要进行黑盒渗透测试。在此类测试中,安全专家会像防火墙一样响应事件。这会在测试人员运行检查时干扰他们。他们可以阻止他们,但这很耗时。为了绕过这些限制,应该更改IP地址。在这种情况下,一个blazingseo代理(经常更改IP地址的轮换代理)可以帮助完成这项工作。代理服务器代表服务器建立TCP连接。然后它与该服务器交换网络数据包。您将能够同时使用本地DNS服务器并为每个请求指定一个名称。因此,站点将记住来自DNS请求的地址。为什么要使用渗透测试?渗透测试用于验证漏洞。此外,测试人员使用它来评估系统的安全性。当今的技术日新月异。然而,人为错误仍然占数据泄露的88%。现代黑客以应用程序堆栈任何级别的安全配置错误为目标。要了解您的安全系统是否能够应对此类攻击,需要对其进行测试。公司如何从渗透测试中获益如下:测试可以识别组织的硬件、软件或人力资产中的弱点以进行控制。测试可确保维护网络安全的三个最重要方面(机密性、完整性和可用性)。测试确保实施的控制是充分的。测试提供的指标可以深入了解公司已建立的安全措施。这取决于它如何受到攻击以及保护它所需的步骤。测试改善了公司的整体安全态势。渗透测试的类型1.网络渗透测试检查系统的物理结构以发现组织网络中的危险。渗透测试人员在网络上进行测试,以便他们可以识别网络架构、操作或实施中的缺陷。测试人员检查单个业务组件,例如计算机、设备,以发现可能的缺陷。2.物理渗透测试这种类型的渗透测试模拟现实世界的风险。渗透测试人员扮演网络黑客的角色,试图突破物理安全屏障。这种类型的测试用于发现物理设备的缺陷,例如监控摄像头、储物柜、障碍物和传感器。3.Web应用程序渗透测试在这种类型的测试中,测试人员寻找基于Web的系统中的缺陷。Web应用程序渗透测试可识别网站和应用程序中可能存在的漏洞。它还搜索由不安全开发引起的安全问题。具有交易页面的网站和应用程序需要这种类型的渗透测试。示例包括在线购物网站、银行应用程序和其他电子商务网站。4.无线网络渗透测试这种类型的渗透测试检查连接到企业互联网的所有设备的连接性。其目的是避免通过无线网络在设备之间共享数据时可能发生的数据泄漏。渗透测试的三种方式测试人员可以通过三种方式进行渗透测试。它们取决于手头可用的信息类型。1.黑盒渗透测试在黑盒或外部渗透测试中,测试人员对公司的IT架构一无所知。这个过程类似于模拟真实世界的网络攻击,通常需要很长时间才能完成。2.灰盒渗透测试在这种方法中,测试人员掌握了一些关于公司结构的信息,包括IP地址、操作系统、电子邮件地址、位置和网络地图。这是一种更有针对性的方法,因为测试人员的内联网访问权限有限。这使他们可以专注于寻找潜在的漏洞。因此,它可以为他们节省更多的时间和金钱。3.白盒渗透测试白盒渗透测试也称为内部或透明盒渗透测试。渗透测试人员拥有IT基础设施、源代码和环境等所有信息。这是一种更广泛、更深入的渗透测试,涉及应用程序的各个方面,通常还包括代码质量和基本设计。另外,这种类型的渗透测试通常需要两到三周才能完成。渗透测试中使用的工具渗透测试在很大程度上依赖于工具。这些工具有助于检测网络、服务器、硬件和软件中的安全漏洞。渗透工具是用来寻找漏洞的软件应用,也被真正的黑客所使用。市场上有数百种工具可用于实施不同的渗透测试流程。以下是一些最流行的渗透测试工具,可用于常见测试。1.SQLMapSQLMap是一个自动发现和利用SQL注入问题的程序。它包括一个强大的检测引擎,可以与任何数据库管理系统一起使用。它支持所有SQL注入技术。通过正确的身份验证、IP地址、端口和数据库名称,您可以在不使用SQL注入的情况下连接到数据库。2.W3af使用Web应用程序攻击和审计框架(W3af)来发现任意漏洞。它摆脱了DNS、缓存中毒、cookie管理和代理支持等问题。3.WiresharkWireshark是世界上使用最多的网络协议分析器。该工具允许测试人员检测非常小的网络活动。它还允许对数百个协议进行彻底检查,以及实时捕获和离线分析。Wireshark与所有主要操作系统兼容,例如Windows、Linux、macOS和Solaris。4.MetasploitMetasploit是渗透测试的常用工具。测试团队使用它来审查和管理安全评估,从而阻止白帽黑客。Metasploit包括命令行和GUI界面。它可以在所有操作系统上运行,包括macOS、Linux和Windows。但是,Linux是最受欢迎的。该工具允许渗透测试人员闯入系统并发现致命弱点。使用此工具,测试人员可以利用弱点进行真正的攻击。5.NmapNmap是免费的、通用的、功能强大的、便携的、易于使用的。它可以以不同的方式使用,例如:检查和管理服务升级计划监控主机和健康服务管理网络清单它通过分析原始IP数据包来确定主机是否可用。Nmap还用于查看主机上正在运行的服务。此外,它还可以检查应用程序名称、版本和操作系统信息。测试人员可以看到使用了哪些数据包过滤器。Nmap可以扫描任何东西,从单台计算机到大型网络。它与几乎所有操作系统兼容。6.Nessus世界各地的许多公司都使用Nessus作为值得信赖的渗透测试工具之一。它用于扫描IP地址、网站和搜索敏感数据。Nessus可以帮助识别缺失的补丁、恶意软件和移动扫描。此外,它还具有功能齐全的仪表板、广泛的扫描功能和多格式报告功能。总结Web应用程序渗透测试对于识别系统中的关键安全漏洞很重要,对于识别IT基础设施或Web应用程序中的漏洞也是必要的。随着网络攻击变得越来越普遍,检测威胁和漏洞变得越来越重要。这就是为什么渗透测试是必须的。不同的公司有自己的渗透测试工具和方法。但是,目标保持不变:保护公司资产免受外部入侵者的侵害。具有高级技能的渗透测试人员可以发现越来越多的漏洞。然后可以对其进行修补以使系统更安全。渗透测试现在正在扩展到包括移动设备和云安全。作为渗透测试人员,您需要做好准备并了解漏洞以及如何在这些领域进行测试。请记住,渗透测试人员必须始终领先于黑帽黑客一步。在这个游戏中,只有一个赢家,那就是你所在的公司。译者介绍夏东伟,51社区编辑,信息系统项目工程师,中国人民大学传播学硕士。复合型知识结构,拥有20多年IT上市公司营销总监、高级研究员、IT项目负责人经验。现就职于北京北新源软件有限公司高级研究员,《东威智库》、《东哥安全观》公众号》主编。【51CTO译文,合作站点转载请注明原文译者和出处51CTO.com】AI技术如何应用??于多场景数字化?如何提供AI技术解决方案?AI算法如何应对车况检测挑战?1月18日(周二)晚上8点,将邀请大搜车集团AI负责人张扬先生讲述AI算法的赋能实践,并有精彩的盲盒抽奖互动环节等着你!
