什么是渗透测试? 2020年快速指南

计算机安全从未像现在这样重要。黑客威胁您的银行帐户,勒索软件可以在您不支付要价的情况下关闭您的PC,并且每个人都在监视其他人,可以说,安全情况比以往任何时候都更加复杂.


幸运的是,并不是每个具有安全技能的人都能帮助您。一些黑客为维护好利益而努力,探索漏洞的目的是修复漏洞而不是利用漏洞谋取私利.

在本文中,我们将研究它们的作用并解释什么是渗透测试.

伯首发:黑帽与白帽

渗透测试

好人通常被称为白帽测试员。坏家伙是黑帽子,而灰色帽子则介于两者之间。如果您看到其中任何一个正常工作,那么他们通常会做同样的事情:检查网站是否存在漏洞。区别在于当他们发现问题时会发生什么.

白帽子将问题报告给网站或应用程序的所有者。黑帽正在寻找入侵该网站或向他人出售有关该漏洞利用的信息。灰色帽子不太适合这些类别。他们可能会出于娱乐或好奇心而骇客,有可能触犯法律,但不打算赚钱或造成伤害.

为什么Web应用程序安全很重要

拥有在线状态的任何人都可以被黑客入侵。您邻居的Twitter帐户和国际银行都是目标。闯入网站的回报可能是无限的.

如果网站遭到入侵,黑客可以采取任何措施,从用户名和密码到信用卡详细信息或医疗记录。我们大多数人都知道某人的电子邮件被黑客入侵,经常向其联系人列表中的每个人发送消息,因此网络犯罪对我们所有人都产生了影响.

一旦黑客控制了一个网站,他们就可以使用它来窃取更多的客户详细信息,这些信息可以用于访问银行帐户或窃取比特币。他们也可能能够获得机密的业务或技术信息.

自然,公司渴望采取一切可能的措施来防止安全漏洞。聘请渗透测试或渗透测试专家是帮助他们超越黑客的好方法.

安全专业人员进行的漏洞评估涉及雇用他人尝试闯入该网站。他们可以像罪犯一样探测安全漏洞,并将发现的问题报告给网站所有者,然后由他们修复.

漏洞评估

评估漏洞

不断发现软件和网站的新弱点。最新的软件版本通常包含已知漏洞的修复程序,因此对其进行更新是明智的。.

但是,在成熟的Web应用程序上可能很难做到这一点。不同版本的软件并不总是彼此兼容,因此要保持最新状态并确保一切正常并不容易.

由于这些事情总是在变化,因此几乎不可能保证应用程序的安全。例如,可能没有人知道服务器软件的最新版本中的漏洞。但是,将来不太可能发现缺陷.

如果您担心自己的网站被黑客入侵,则应阅读我们有关网站安全性的文章,以获取一些建议。.

黑盒与白盒

有多种方法可以对网站或应用程序进行漏洞评估。一种方法是在没有内部知识或帮助的情况下,以与黑客相同的方式来探测漏洞。这就是所谓的黑匣子测试.

另一方面,白盒测试意味着安全测试,可以访问诸如被探测的应用程序的源代码或有关所使用的软件的详细信息之类的信息.

黑匣子方法更像罪犯会做的事情。对于使用此方法的用户而言,获取有关被测系统的信息是一项关键挑战.

白盒策略使发现漏洞变得更加容易,因为测试人员可以浏览所有内容并查看它们如何融合在一起。如果他们知道正在运行什么软件,则可以相应地进行攻击。也就是说,这可能并不表示真正的黑客可能会发现哪些漏洞.

渗透测试工具

对于那些参与安全测试的人来说,Linux是一种流行的操作系统。如果您需要在网站上进行漏洞评估,那么Kali Linux是一个特别好的发行版,因为它已安装了各种相关软件,包括Wireshark和Burp套件以及许多其他有用的工具.

使用Burp套件或Charles之类的工具监视Web流量可以为您提供有关连接到网站时发生情况的详细信息。他们监视计算机建立的所有连接,并为您提供有关它们的详细信息。它们对于常规的Web开发和调试也很有用.

您可以使用它们来修改发送的请求,这非常有用,如果您想查看服务器如何响应可能来自黑客的非标准流量.

查尔斯

还有一些工具可以自动执行暴力密码攻击,这些工具实际上会尝试尽可能多的组合。它针对短而简单的密码。使用密码管理器可以帮助您生成更长的密码管理器,使其更不容易受到攻击.

密码表单也可能会导致SQL注入-将代码潜入传递给服务器的数据中。安全测试人员可以发现可能发生的地方并更新代码,以确保安全处理传入的数据.

研究应用程序如何使用计算机内存还可以发现漏洞。可以使用GNU调试器或GDB浏览可执行程序的内部。这种漏洞测试涉及寻找可以使黑客访问Shell并允许他们控制服务器的漏洞利用程序。.

gdb

大多数浏览器都有开发控制台,这对于检查网站上正在发生的事情也很有用。 Chrome的开发工具将显示页面加载的元素并显示错误。错误不仅会给用户带来麻烦,而且可能使网站容易受到攻击.

您可以在Chrome中找到开发者控制台,方法是单击右上角的三个点以打开菜单,然后选择“更多工具” > “开发者工具。”单击“控制台”选项卡以查看您正在查看的网站上的错误。您可能会惊讶地发现,即使在备受瞩目的网站上出了什么问题,出了什么问题.

铬控制台

一些公司可能使用虚拟专用网络来帮助保护自己免受伤害。但是,攻击者可以识别出这一点,安全性较低的连接可能容易受到利用。这就是为什么在选择服务并选择周围最好的VPN提供商之一时要当心的重要性.

在安全测试中赚钱

通过渗透测试赚钱

如果您对计算机安全感兴趣,那么参与它从未如此简单。比以往更多的公司为发现和报告其网站问题的人提供公共奖励。奖品可以高达数十万美元。不过,潜在的赏金猎人会被警告,但是大多数赏金猎人的数量要低得多,如果您想降落赏金猎人,则需要花费大量时间.

就是说,拿一些小的奖品,您也许可以找到一份工作,担任安全顾问或渗透测试员,教公司如何保护自己免受那些不那么精打细算的猎人的侵害。.

最后的想法

随着数字环境的不断变化,对安全的需求已达到最大。幸运的是,人们对Web应用程序安全性和总体安全性问题的认识也有所提高.

渗透测试是安全性的重要组成部分。这是一个充满挑战的领域,但令人着迷。如果您觉得这篇文章很有用,或者有深思熟虑的经验,请在下面的评论中告诉我们。谢谢阅读.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map