版权声明:本文为博主原创文章,请尊重原创,未经博主允许禁止转载,保留追究权 https://blog.csdn.net/qq_29914837/article/details/82789466
一、了解渗透测试
渗透测试:在取得客户授权的情况下,通过模拟黑客攻击来对客户的整个信息系统进行全面的漏洞查找,分析、利用。最后给出完整的渗透报告和问题解决方案。
高级渗透测试服务(黑盒测试):指在客户授权许可的情况下,资深安全专家将通过模拟黑客攻击的方式,在没有网站代码和服务器权限的情况下,对企业的在线平台进行全方位渗透入侵测试,来评估企业业务平台和服务器系统的安全性。
二、什么类型的安全风险需要进行渗透测试
当存在下面这些风险时,渗透测试显得尤为必要:
①企业及网站存在机密资料外泄、用户资料外泄的担忧
②用户开发完毕的新系统平台需要上线
③开发过程中系统需要进行局部安全测试
④业务系统存在交易业务逻辑问题(如金融类系统)
三、渗透测试相关标准
《信息安全技术 信息安全风险评估规范》 GB/T 20984-2007
《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008
《信息安全技术 安全漏洞等级划分指南》GB/T 30279-2013
四、渗透工具
| 工具名称 | 工具描述 |
|---|---|
| 漏洞扫描系统 | 漏洞扫描 |
| Nessus | 漏洞扫描 |
| Metasploit | 漏洞利用 |
| Superscan | 端口扫描 |
| Solarwinds | snmp发现 |
| hscan | 口令探测 |
| Pangolin | SQL注入工具 |
| WVS | Web扫描工具 |
五、安全建议
①定期进行网站系统进行风险评估。
②针对安全评估结果协调开发团队或厂商进行有效的安全整改和修复。
③配备专业的WEB应用防火墙,针对来自互联网的主流WEB应用安全攻击进行安全防护。
④ 建立和完善一套有效的安全管理制度,对信息系统的日常维护和使用进行规范。
⑤建立起一套完善有效的应急响应预案和流程,并定期进行应急演练,一旦发现发生任何异常状况可及时进行处理和恢复,有效避免网站业务中断带来损失。
⑥定期对相关管理人员和技术人员进行安全培训,提高安全技术能力和实际操作能力。