像黑客一樣去做滲透測(cè)試
日期:2019-07-19 10:27:55
投稿人:李慧君
滲透測(cè)試的通俗解釋�����,即模擬攻擊者(類似于黑客)的角度對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊���,檢測(cè)網(wǎng)絡(luò)防御是否按照預(yù)期計(jì)劃正常運(yùn)行的一種評(píng)估方法。
下面簡(jiǎn)單介紹一下最常見的滲透測(cè)試的兩種類型:白盒測(cè)試和黑盒測(cè)試
白盒測(cè)試
白盒測(cè)試又叫透明盒測(cè)試��,顧名思義即我們能看到程序的代碼邏輯��。測(cè)試人員通過(guò)對(duì)程序所有邏輯路徑進(jìn)行測(cè)試,檢測(cè)是否能達(dá)到預(yù)期效果��。但由于路徑數(shù)目極大����,測(cè)試人員只能盡可能地覆蓋到每一條路徑而無(wú)法全部覆蓋���,因此存在一定缺陷�����。
黑盒測(cè)試
黑盒測(cè)試即測(cè)試對(duì)象相當(dāng)于一個(gè)黑盒子�����,里面的內(nèi)容我們是看不到��,我們所能接收到的是最后的結(jié)果�。測(cè)試人員只需要按照需求規(guī)格說(shuō)明書的規(guī)定正常使用�,檢測(cè)程序是否能適當(dāng)?shù)亟邮蛰斎霐?shù)據(jù)而產(chǎn)生正確的輸出信息即可
所以,其兩者最大的區(qū)別就是前者注重過(guò)程����,而后者注重結(jié)果��,沒有哪個(gè)更好的說(shuō)法���,現(xiàn)在的測(cè)試人員也一般是黑白并行���,不管黑貓白貓��,抓到老鼠的就是好貓����!
那么滲透測(cè)試存在的意義是什么呢�����?
隨著網(wǎng)絡(luò)的發(fā)展�,越來(lái)越多的企業(yè)將傳統(tǒng)的交易平臺(tái)轉(zhuǎn)移到互聯(lián)網(wǎng)上進(jìn)行,企業(yè)的信息系統(tǒng)存放的重要數(shù)據(jù)也日漸增多�����,隨之而來(lái)的安全問題讓我們不得不開始重視����。而滲透測(cè)試就像參加考試���,雖然每個(gè)人都認(rèn)為自己準(zhǔn)備充分����,該背的背了���,該理解的理解了,但能拿滿分的人卻并不多見����。
不測(cè)試����,永遠(yuǎn)無(wú)法發(fā)現(xiàn)我們存在的缺失。
而這些缺失�,發(fā)生在企業(yè)身上���,可能是一個(gè)致命的傷害。世界知名的比特幣交易平臺(tái)Mt.Gox��,就是由于系統(tǒng)漏洞遭到黑客攻擊,交易平臺(tái)的8 5萬(wàn)個(gè)比特幣被盜一空�,損失4.67億美元后,資金鏈出現(xiàn)了嚴(yán)重?cái)嗔?��,?dǎo)致公司最終只能無(wú)奈宣布破產(chǎn)�����。
可見��,做好滲透測(cè)試對(duì)企業(yè)來(lái)說(shuō)是非常重要的一環(huán)�����。但有許多企業(yè)管理層都有個(gè)錯(cuò)誤的認(rèn)識(shí),認(rèn)為滲透測(cè)試只是通過(guò)自動(dòng)化的工具機(jī)械化生成的報(bào)告�,不需要耗費(fèi)太多的人力�����,其實(shí)不然,滲透測(cè)試真正有價(jià)值的部分���,恰恰是專業(yè)的技術(shù)人員利用他們專業(yè)的知識(shí)、過(guò)往的經(jīng)驗(yàn)���,對(duì)掃描的結(jié)果進(jìn)行分析和判斷����,抓出機(jī)器都無(wú)法發(fā)現(xiàn)的問題和隱患����,提出的相應(yīng)建議��。所以選擇優(yōu)秀的技術(shù)人員���,才能更大程度地保障企業(yè)的網(wǎng)絡(luò)安全�����。
