文档介绍：该【渗透测试公开课获奖课件赛课一等奖课件 】是由【业精于勤】上传分享，文档一共【21】页，该文档可以免费在线阅读，需要了解更多关于【渗透测试公开课获奖课件赛课一等奖课件 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。渗透测试简介
第1章 渗透测试简介
第2章 渗透测试波及的内容
第3章 怎样开展渗透测试及其波及的技术
第4章 渗透测试与现实状况分析
1
渗透测试简介
渗透测试（Penetration Test）是指是从一种袭击者的角度来检查和审核一种网络系统的安全性的过程。一般由安全工程师尽量完整地模拟黑客使用的漏洞发现技术和袭击手段，对目的网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节。渗透测试可以直观的让管理人员懂得自已网络所面临的问题。
作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，通过实战和推演，让顾客清晰理解目前网络的脆弱性、也许导致的影响，以便采用必要的防备措施。
2
第1章 渗透测试简介
第2章 渗透测试波及的内容
第3章 怎样开展渗透测试及其波及的技术
第4章 渗透测试与现实状况分析
3
渗透测试波及的内容
渗透测试波及的对象包括：
1、主机操作系统
WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统
2、网络设备
多种防火墙、入侵检测系统、网络设备
3、数据库系统
MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2 等数据库
4、应用系统
Web、Ftp、Mail、DNS等等应用系统
5、安全管理
安全管理手段技术、制度、流程，人员的安全意识等
4
渗透测试波及的内容
渗透测试波及的内容包括：
1、目的系统权限的获取
例如帐号/口令、shell code等的获取，多种安全限制的绕过，后门木马的安装等
2、敏感信息、数据的盗取、运用或篡改破坏
运用技术、管理等等方面的漏洞缺陷，获取敏感信息、数据，或对之进行篡改破坏
3、对目的系统的恶意袭击
例如多种拒绝服务袭击等
5
渗透测试波及的内容
渗透测试波及的详细测试检查内容重要有：
帐号口令
远程或当地溢出漏洞
安全方略及配置漏洞
应用脚本安全问题（认证、权限、操作参数过滤、敏感信息暴露等）
数据通讯安全（sniffer、无线通讯明文传播）
网络隔离、接入、访问控制
社会工程学欺骗（安全管理手段技术、制度、流程，人员的安全意识）
6
第1章 渗透测试简介
第2章 渗透测试波及的内容
第3章 怎样开展渗透测试及其波及的技术
第4章 渗透测试与现实状况分析
7
渗透测试的实行流程
渗透实行方案：
项目基本状况及目的简介
渗透测试实行方案及计划
渗透测试成果的审核确认
渗透测试实行的风险规避
信息搜集分析
域名及IP分布
网络拓补、设备及操作系统OS
端口及服务状况
应用系统状况
最新漏洞状况
其他信息（如服务器管理员的有关信息等）
渗透实行：
获得目的系统权限
后门木马植入，保持控制权
跳板渗透，深入扩展袭击成果
获取敏感信息数据或资源
8
渗透测试实际就是一种模拟黑客袭击的过程，因此其的实行过程也类似于一次
完整的黑客袭击过程，一般来说，会包括这样几种环节及有关技术工具：
怎样开展渗透测试
9