文档介绍:滲透測試簡介�Introduction of ration Test
鈺松國際
王皇又
******@.tw
大綱
滲透測試簡介
滲透測試流程
實例討論
滲透測試簡介
何謂滲透測試
進行滲透測試的目的
滲透測試的分類
何謂滲透測試
滲透測試是由一群具有豐富的「網路及系統安全」相關知識與經驗的團對負責。
在測試過程中,滲透測試團隊的成員,以入侵者的思維方式,並以掃描工具、攻擊程式及技術等輔助,對目標進行檢測。
測試過程,就如同網路入侵事件的實際演練。
進行滲透測試的目的
了解入侵者可能利用的途徑
了解系統及網路的安全強度
入侵者可能利用的途徑
入侵者可能利用的途徑,可能是個別的問題,也可能是數個問題結合而成
資訊不當揭露或竄改
網路架構之設計問題
防火牆之設定問題
系統及應用程式漏洞
系統及應用程式設定問題
系統及網路的安全強度
評估具同等能力的入侵者大約可以在多久的時間入侵成功
評估遭到入侵可能的影響
強化系統及網路的安全
減低遭到入侵後的損失
滲透測試的分類
work ration Test)
應用程式滲透測試(Application ration Test)
網路滲透測試
網路滲透測試目標為網路上的主機或其他網路設備,對主機(或網路設備)及所提供的服務進行檢測
針對目前已知問題進行資訊搜集,透過分析及綜合搜集的資料,研判可能入途徑
網路滲透測試
網路滲透測試與弱點稽核(vulnerability assessment)的差異
滲透測試針對的是可能的入侵途徑,弱點稽核則是著重在個別的問題
滲透測試透過資訊的分析,可以發現由數個(中、低風險)問題組合而成的入侵途徑;弱點稽核則是個別問題的列表
滲透測試會實際驗證入侵途徑,以提供遭到入侵的可能影響;弱點稽核則是提出系統可能的漏洞,但未實際驗證問題。