日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

企業(yè)越依賴網(wǎng)絡(luò)通信和基于云的數(shù)據(jù)系統(tǒng)，就越容易遭受外部攻擊者的攻擊和破壞。在考慮Web應(yīng)用程序的數(shù)據(jù)安全問題時，確立滲透測試方法變得日益重要。

在設(shè)計和捍衛(wèi)安全系統(tǒng)時，如何確保這些系統(tǒng)正常運行?答案就在于構(gòu)建一種滲透測試方法來保護信息資產(chǎn)。

什么是滲透測試

簡言之，滲透測試就是為了確定Web應(yīng)用中的漏洞程度而對企業(yè)的最佳防御系統(tǒng)進行測試并利用其漏洞的一種可控的網(wǎng)絡(luò)攻擊。

從實質(zhì)上說，設(shè)計和實施滲透測試方法可以使企業(yè)：

1. 在獲得授權(quán)的環(huán)境中主動地測試和攻擊自己的系統(tǒng)，其重點是IT基礎(chǔ)架構(gòu)、操作系統(tǒng)漏洞、應(yīng)用程序問題及用戶和配置錯誤等。

2. 分析和查驗系統(tǒng)防御以及用戶是否遵循系統(tǒng)協(xié)議。

3. 評估可能的攻擊源，如Web應(yīng)用程序、無線網(wǎng)絡(luò)、設(shè)備、服務(wù)器等。

任何數(shù)據(jù)都不可能完全安全。但有效的滲透測試方法可以極大地清除一些不必要的漏洞。

滲透測試的好處

有效的滲透測試方法可以確認(rèn)掃描軟件無法發(fā)現(xiàn)的漏洞，而且可以確定已有的網(wǎng)絡(luò)防御系統(tǒng)如何適時地檢測和響應(yīng)攻擊，確定一次成功攻擊的危害程度，還可以確保遵循所有的數(shù)據(jù)安全合規(guī)協(xié)議。

認(rèn)真對待滲透測試方法的另一個好處在于其對公司內(nèi)部文化的潛在影響。企業(yè)的領(lǐng)導(dǎo)層展示出對數(shù)據(jù)安全的重視和要求，就會增強雇員對其重視的程度，后者也會盡最大努力遵循終端用戶協(xié)議。

多長時間進行一次滲透測試?

企業(yè)應(yīng)經(jīng)常執(zhí)行有效的滲透測試。為避免將來遭受攻擊而丟失重要數(shù)據(jù)，安全管理者應(yīng)積極地強化Web應(yīng)用程序的防御。在計劃滲透測試方法時，不妨考慮一下企業(yè)所屬行業(yè)。并非每一家企業(yè)都有相同的安全需要，但公司有責(zé)任確保機密信息的安全性。

企業(yè)應(yīng)經(jīng)常部署滲透測試方法，尤其要注意：

1.有些行業(yè)的特定規(guī)范要求經(jīng)常進行滲透測試。

2.對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)或Web應(yīng)用程序進行的任何修改，其中可能涉及升級、更改、安全補丁、安裝新軟件或硬件、大修等。

3.策略變更。對于終端用戶來說，問題尤其如此。策略的變更會影響到用戶與Web應(yīng)用交互的性質(zhì)，從而帶來新挑戰(zhàn)。

4.企業(yè)遷移或增加新的辦公場所。其中涉及通過ISP而不是通過企業(yè)的安全網(wǎng)絡(luò)訪問Web應(yīng)用程序的遠程雇員。

最后，在設(shè)計滲透測試方法時，保持謹(jǐn)慎很有必要。滲透測試的花費要遠遠小于數(shù)據(jù)泄露所造成的成本。

構(gòu)建有效的滲透測試過程

在構(gòu)建滲透測試方法時，必須記住滲透測試要求很多的信任。企業(yè)要找到一家既有經(jīng)驗又熟悉企業(yè)特定需要的供應(yīng)商。

滲透測試實際上是要求供應(yīng)商攻擊企業(yè)的系統(tǒng)，所以應(yīng)當(dāng)建立一些基本要求：

范圍：滲透測試針對的是企業(yè)的特定范圍還是總體?哪些人和哪些不屬于此范圍?

時間表：在測試期間，企業(yè)仍要正常運行，所以確定在什么時間執(zhí)行滲透測試非常重要。應(yīng)將滲透測試的總體時間安排作為滲透測試方法的一個關(guān)鍵要素。

黑盒測試與白盒測試：在白盒測試中，滲透測試者可得到基本的實施測試的訪問和信息，然后由此開始查找并利用漏洞的過程。在黑盒測試中，測試者就像是外部的攻擊者一樣實施攻擊。

溝通：在測試涉及到的各方中建立溝通渠道是很重要的，因為溝通中出現(xiàn)的任何差錯都可能導(dǎo)致各種不可預(yù)料的后果。

上述問題是滲透測試方法的基礎(chǔ)，所以我們應(yīng)謹(jǐn)慎考慮。

收集情報

在這個階段，供應(yīng)商開始實施初步攻擊。如果計劃得當(dāng)，供應(yīng)商就可以明確攻擊什么和無法攻擊什么。

如果供應(yīng)商沒有詳細地調(diào)查關(guān)于企業(yè)、員工、資產(chǎn)、負債的信息，其工作就做得不夠。花費在這個階段的時間很重要也會很多。

威脅建模

在收集了相關(guān)資料后，下一步就是使用這些信息構(gòu)建公司及資產(chǎn)的完整模型。然后，確定主要和次要的目標(biāo)資產(chǎn)，并做進一步調(diào)查。

資產(chǎn)牽涉到很多要素，其中包括企業(yè)數(shù)據(jù)(例如，策略、過程、商業(yè)秘密)、雇員和客戶數(shù)據(jù)、人員資產(chǎn)(可通過某種方式利用其弱點的高級雇員)等。在健全的滲透測試方法中，供應(yīng)商不應(yīng)偏向于其找到的某些資產(chǎn)，除非被要求這樣做。供應(yīng)商應(yīng)努力確認(rèn)價值最高的資產(chǎn)。

漏洞分析

在確立了目標(biāo)資產(chǎn)后，供應(yīng)商就會確定利用這些資產(chǎn)漏洞的最佳入口。良好的滲透測試方法可以對項目范圍提供嚴(yán)格的指南，以確保滿足客戶所期望的結(jié)果。

有時，這種分析可以揭示所有的潛在漏洞。另外，供應(yīng)商還會被要求針對特定的潛在問題進行滲透測試。徹底的滲透測試方法可以評估漏洞程度，其中包括漏洞水平及其可能暴露信息的敏感性。

漏洞利用及后續(xù)工作

滲透測試的下一步就是攻擊了。正如真實的數(shù)據(jù)泄露一樣，漏洞利用可以很快地實施和執(zhí)行。

在供應(yīng)商獲得了系統(tǒng)的訪問權(quán)之后，就會設(shè)法避免被檢測，同時還要嘗試“特權(quán)提升”策略，以獲得更多的系統(tǒng)訪問和其它的潛在資源。

在實現(xiàn)目標(biāo)之后，滲透測試進行到漏洞利用的后期階段，供應(yīng)商會評估被攻擊系統(tǒng)或入口點的價值，并決定是否可以進一步利用其漏洞。

報告

很明顯，徹底的滲透測試在數(shù)據(jù)收集、數(shù)據(jù)分析、漏洞利用等方面需要花費大量的工作。但是，供應(yīng)商該如何報告信息才能使企業(yè)將其轉(zhuǎn)換為可行動的解決方案呢?

要求具體建議：高級的建議可能會提供企業(yè)Web應(yīng)用的基本環(huán)境配置情況，但對于具體實施的人來說卻沒有太大用處。

風(fēng)險等級：很明顯，攻擊越難實施和完成，真正的攻擊者在實施時面臨的困難就會越多。供應(yīng)商應(yīng)提供一份詳細報告，指明其發(fā)現(xiàn)漏洞的風(fēng)險等級，還要評估這些漏洞被利用后對企業(yè)產(chǎn)生的潛在影響。

網(wǎng)站欄目：如何更好地實施Web應(yīng)用程序滲透測試?
URL地址：http://www.dlmjj.cn/article/djjcced.html