渗透测试时一种通过模拟攻击者的技术与方法,挫败目标系统的安全控制措施并取得访问控制权限的安全测试方式。
渗透测试阶段
1.前期交互阶段
确定渗透测试的目标与范围
2.情报搜集阶段
采取各种可能的方法搜集将要攻击客户组织的所有信息。
3.威胁建模阶段
使用情报搜集阶段获取到的信息,来标识出目标系统上可能存在的安全漏洞和弱点
4.漏洞分析阶段
确定出可行的攻击方法之后,考虑如何获取目标系统的访问权限
5.渗透攻击阶段
在确定特定渗透攻击会成功的基础上,才真正对目标实施这个渗透攻击
6.后渗透阶段
已经攻陷了客户组织的一些系统或管理权限以后 ,将以特定的系统为目标,寻找最具有价值情报的地方
7.报告阶段
使用报告文档来交流你在渗透测试过程中做了哪些,如何做的,为客户组织和修复你所发现的安全漏洞和弱点
渗透测试类型
1.白盒子测试
白盒子测试是指渗透测试者拥有客户组织所有知识的情况下所进行的测试
2.黑盒子测试
黑盒子测试是指渗透测试者对客户组织不了解的情况下实施的
3.灰盒子测试
灰盒子测试是指渗透着拥有客户组织的部分信息下进行的测试