日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.COM 快譯】想查明你的網(wǎng)絡(luò)在黑客攻擊面前多么不堪一擊，最好的辦法就是請(qǐng)外部專家對(duì)它進(jìn)行一次滲透測(cè)試。當(dāng)然，你得請(qǐng)具備相應(yīng)資質(zhì)的第三方來幫助進(jìn)行滲透測(cè)試。

十多年的夷陵網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)整合營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整夷陵建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“夷陵網(wǎng)站設(shè)計(jì)”,“夷陵網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

可是請(qǐng)第三方進(jìn)行滲透測(cè)試有兩大缺點(diǎn)：

·費(fèi)用高昂

·一旦你對(duì)自己的基礎(chǔ)設(shè)施進(jìn)行了變動(dòng)，或者發(fā)現(xiàn)了影響基礎(chǔ)設(shè)施的新安全漏洞，第三方滲透測(cè)試實(shí)際上“過時(shí)”了。

想避開這兩個(gè)問題，一個(gè)辦法就是自己執(zhí)行滲透測(cè)試。

在繼續(xù)探討之前，有必要指出：自己執(zhí)行滲透測(cè)試的效果比不上從外面請(qǐng)來專家，因?yàn)閷＜覞B透測(cè)試需要經(jīng)驗(yàn)、技能和創(chuàng)造力?？赡苤挥袑I(yè)的滲透測(cè)試人員(和專家黑客)才具備這些素質(zhì)。即便你的安全團(tuán)隊(duì)有滲透測(cè)試方面的經(jīng)驗(yàn)，但是許多專家還是認(rèn)為，第三方以全新的視角打量你的網(wǎng)絡(luò)，更有可能發(fā)現(xiàn)潛在問題。熟悉自己的網(wǎng)絡(luò)實(shí)際上會(huì)讓你看不到可能存在的安全漏洞。

不過，能夠自行執(zhí)行滲透測(cè)試仍是個(gè)好主意，因?yàn)橹灰阗?gòu)買新設(shè)備、安裝新軟件，或者對(duì)網(wǎng)絡(luò)進(jìn)行其他的重大變動(dòng)，你都可以運(yùn)行測(cè)試，讓你注意之前忽視的明顯的安全漏洞。

內(nèi)部滲透測(cè)試就好比出門之前，房子外面兜一圈，檢查一下有沒有窗戶開著：這是一種明智的防范措施，幾乎不需要什么花費(fèi)。

滲透測(cè)試基礎(chǔ)：7個(gè)步驟

最簡(jiǎn)單的滲透測(cè)試也包括許多步驟：

網(wǎng)絡(luò)枚舉和映射。這一步常常需要掃描端口，搞清楚網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并且查明哪些計(jì)算機(jī)連接到網(wǎng)絡(luò)，查明它們提供哪些操作系統(tǒng)和服務(wù)。可能用來執(zhí)行這項(xiàng)任務(wù)的最流行的工具非開源Nmap工具莫屬，有時(shí)可通過Zenmap Gui來使用它。

偵察。這一步需要聯(lián)系網(wǎng)絡(luò)上的機(jī)器，獲取來自這些機(jī)器的信息，比如它們運(yùn)行的應(yīng)用程序。偵察還需要上網(wǎng)搜索關(guān)于測(cè)試的那家企業(yè)組織的信息，比如查清楚IT員工和高管的姓名。這種信息對(duì)于實(shí)行社會(huì)工程學(xué)和網(wǎng)絡(luò)釣魚演練很有用(參閱下文)。這些人的社交媒體帳戶也能透露經(jīng)常用于密碼中的一些信息，比如寵物名稱。

網(wǎng)絡(luò)嗅探。這一步用來檢查網(wǎng)絡(luò)上傳輸?shù)牧髁?，并且搜尋未加密?shù)據(jù)，包括密碼或VoIP流量。用于嗅探網(wǎng)絡(luò)的事實(shí)上的標(biāo)準(zhǔn)是Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html)，這是另一款開源工具。

安全漏洞掃描。掃描可以發(fā)現(xiàn)任何機(jī)器有沒有不安全的軟件版本或者是可以鉆空子的其他已知安全漏洞，或者發(fā)現(xiàn)任何無線接入點(diǎn)敞開還是存在弱密碼。一種流行的開源安全漏洞掃描工具是OpenVAS(http://www.openvas.org)。還可以針對(duì)Web服務(wù)器使用其他比較專業(yè)的掃描工具，尋找安全漏洞，比如跨站腳本(XSS)錯(cuò)誤。

專有的安全漏洞掃描工具可以改善開源掃描的效果，讓你注意到哪些高危應(yīng)用程序可能被人鉆空子。

這包括：

·Nessus專業(yè)版

·Rapid7 Nexpose

·Qualys FreeScan

利用漏洞。滲透測(cè)試的這個(gè)階段試圖利用任何已知的安全漏洞，以獲得系統(tǒng)的控制權(quán)。記住這一點(diǎn)很重要：雖然安全漏洞掃描可能會(huì)顯示安全漏洞，但不是所有的安全漏洞都會(huì)被人成功利用，或者未必會(huì)導(dǎo)致重大泄密。像Metasploit(https://www.rapid7.com/products/metasploit/download.jsp)這樣的漏洞利用框架含有現(xiàn)成漏洞數(shù)據(jù)庫(它可以與安全漏洞進(jìn)行比對(duì))，還有便于你自行制作并利用漏洞的工具。

許多安全系統(tǒng)可識(shí)別Metasploit漏洞，并將它們檢測(cè)出來;值得一提的是，真正的黑客可能會(huì)改動(dòng)自己的漏洞，所以別傻傻地以為：就因?yàn)槟愕陌踩到y(tǒng)可以防止Metasploit漏洞得逞，你的基礎(chǔ)設(shè)施就高枕無憂了。

進(jìn)一步攻擊。一旦某個(gè)高危系統(tǒng)中招，你可以利用該機(jī)器進(jìn)一步滲透到網(wǎng)絡(luò)。比如說，如果可以訪問某臺(tái)服務(wù)器的密碼文件，密碼破解工具隨后可以獲得寶貴的密碼。利用從偵察階段獲取的信息，這些密碼隨后可以用來闖入更多的系統(tǒng)，訪問更多的數(shù)據(jù)。

密碼破解工具包括離線的John the Ripper(http://www.openwall.com/john/)，可用于處理從你測(cè)試的網(wǎng)絡(luò)獲取的密碼文件，或者是在線的開源工具Hydra(https://github.com/vanhauser-thc/thc-hydra)，這個(gè)具有并行運(yùn)算功能的登錄蠻力攻擊工具會(huì)在很短的時(shí)間內(nèi)嘗試多個(gè)登錄/密碼組合，企圖登錄到ftp等服務(wù)。

網(wǎng)絡(luò)釣魚/社會(huì)工程學(xué)。要是不通過欺騙員工來獲得訪問權(quán)，看看有什么可以攻擊的，任何滲透測(cè)試都是不完整的。這意味著發(fā)送網(wǎng)絡(luò)釣魚電子郵件，或者僅僅打電話，引誘對(duì)方泄露登錄信息或其他敏感信息。

手動(dòng)滲透測(cè)試和Linux發(fā)行版

想手動(dòng)執(zhí)行滲透測(cè)試，你就需要許多工具，包括上面所述的那些工具。想在一個(gè)地方擁有需要的所有工具，最好的辦法就是下載一款開源Linux安全發(fā)行版。建議使用的發(fā)行版包括如下：

·Kali Linux(https://www.kali.org/downloads/)

·Pentoo(http://www.pentoo.ch/download/)

·Parrot Security OS(http://www.pentoo.ch/download/)

·BackBox(https://backbox.org/download)

·Samurai Web測(cè)試框架(https://sourceforge.net/projects/samurai/files/)

這些發(fā)行版含有數(shù)百個(gè)其他開源工具，這些工具可用于網(wǎng)絡(luò)偵探和枚舉、安全漏洞掃描、密碼破解、無線安全審查及更多操作。

這些發(fā)行版存在的問題是，如果你不熟悉它們含有的工具，就很難知道該從哪里入手。一個(gè)解決辦法就是接受全面的培訓(xùn)，熟悉安全發(fā)行版中含有的一些工具。

培訓(xùn)選項(xiàng)包括：

·Kali Linux滲透測(cè)試培訓(xùn)()：這種學(xué)生自定進(jìn)度的在線滲透測(cè)試課程專為想在滲透測(cè)試方面有所深造的網(wǎng)絡(luò)管理員和安全專業(yè)人員設(shè)計(jì)。提供培訓(xùn)的是Offensive Security，它是Kali Linux的開發(fā)者，也是老牌滲透測(cè)試培訓(xùn)和認(rèn)證組織之一。

相關(guān)鏈接：https://www.offensive-security.com/information-security-training/penetration-testing-training-kali-linux/

·Metasploit Unleashed：Metasploit Unleashed道德黑客培訓(xùn)課程免費(fèi)提供，可能是最全面、最深入的指南，面向大名鼎鼎的Metasploit Project滲透測(cè)試工具。

相關(guān)鏈接：https://www.offensive-security.com/metasploit-unleashed/

·InfoSec Institute的滲透測(cè)試在線培訓(xùn)。InfoSec Institute的滲透測(cè)試在線培訓(xùn)是一門全面的在線滲透測(cè)試課程，包含100多個(gè)模塊，在線培訓(xùn)時(shí)長(zhǎng)超過100個(gè)小時(shí)。由于需要學(xué)習(xí)大量材料，大多數(shù)學(xué)生需要整整60天才能學(xué)完課程。

相關(guān)鏈接：http://www.infosecinstitute.com/courses/penetration_testing_online.html

自動(dòng)化滲透測(cè)試

想自行執(zhí)行滲透測(cè)試，比較容易的辦法就是使用自動(dòng)化滲透測(cè)試工具，它會(huì)為你執(zhí)行一些或所有這些步驟，你基本上不需要干預(yù)，或者使用向?qū)硪龑?dǎo)你。

這種方法的好處在于，它能顯示你網(wǎng)絡(luò)上比較直觀的問題。另一個(gè)好處是，不大在行的黑客可能也會(huì)使用這樣一些工具，所以在黑客之前運(yùn)行這些工具，你就能緩解搶在黑客之前找到的任何問題。

不過，這些工具的功能有限。經(jīng)驗(yàn)老道的黑客或滲透人員可能結(jié)合使用多種手法，包括網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)伎倆，突破你的防線大搞破壞，或者他們可能發(fā)現(xiàn)的某個(gè)安全漏洞需要非凡的創(chuàng)造力才能加以利用。自動(dòng)化工具無法同樣做到這點(diǎn)。

大多數(shù)自動(dòng)化滲透軟件是作為商用產(chǎn)品來提供的。這些軟件包括：

·Rapid7 Metasploit(https://www.rapid7.com/products/metasploit/editions.jsp)

·Immunity Canvas(https://www.rapid7.com/products/metasploit/editions.jsp)

·Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)

滲透測(cè)試風(fēng)險(xiǎn)

在你考慮自行執(zhí)行滲透測(cè)試之前，要小心哪里可能會(huì)出岔子。無論是手動(dòng)還是自動(dòng)，滲透測(cè)試都需要對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試和探測(cè)。這可能會(huì)降低網(wǎng)絡(luò)速度，讓計(jì)算機(jī)運(yùn)行起來慢騰騰，或者導(dǎo)致一個(gè)或多個(gè)系統(tǒng)崩潰，從而可能干擾正常業(yè)務(wù)。

網(wǎng)站題目：內(nèi)部滲透測(cè)試究竟應(yīng)該怎么搞?
轉(zhuǎn)載來源：http://m.5511xx.com/article/cdsscge.html