《信息安全技术资料-渗透.pptVIP

信息安全技术交流 渗透测试 深圳市网安计算机安全检测技术有限公司 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 深圳市网安计算机安全检测技术有限公司 一、关于渗透测试 二、渗透测试常见WEB漏洞 三、部分渗透测试工具介绍 四、安全漏洞风险等级定义 五、常见攻击及防御 主讲内容 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全检测主要有以下几种方式：渗透测试、审计和评估。 现实中，单一的检测方式可能无法达到预期的效果。在检测系统安全的时候，通常根据不同的阶段和环境选择合适的测试方式。渗透测试为最直接的检测方式，可以为安全防御提供最有价值的信息。渗透测试的结果不仅是要评估目标系统或者网络的安全性，还要决定成功攻击的可行性和风险等级。 什么是渗透测试 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 渗透测试（Penetration Test）是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/主机/数据库/应用的安全性作深入的探测，发现系统最脆弱的环节的过程。 目前，安全业界比较流行的开源渗透测试方法体系标准包括以下几个。 安全测试方法学开源手册（OSSTMM） NIST SP 800-42网络安全测试指南（NIST） OWASP十大Web应用安全威胁项目（OWASP Top 10） Web安全威胁分类标准（WASC-TC） PTES渗透测试执行标准（PTES） 渗透测试标准流程 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息收集 配置管理测试 认证测试 会话管理测试 授权测试 数据验证测试 拒绝服务测试 WEB服务测试 AJAX测试 OWASP Top 10 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. PTES渗透测试执行标准是由安全业界多家领军企业技术专家所共同发起的，期望为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则。 PTES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同，具体包括以下7个阶段： 渗透测试过程环节 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种分类方法如下： 渗透测试的分类 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种分类方法如下： 黑箱测试又被称为所谓的“Zero-Knowledge Testing”，渗透者完全处于对系统一无所知的状态，通常这类型测试，最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。 渗透测试的分类 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期中，也包含了渗透测试的环节，但根据实际应用，普遍认同的几种分类方法如下： 白盒测试与黑箱测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网