软件测试 52 讲
茹炳晟
腾讯 TEG 基础架构部 T4 级专家
71691 人已学习
新⼈⾸单¥68
登录后,你可以任选4讲全文学习
课程目录
已完结/共 63 讲
结束语 (1讲)
软件测试 52 讲
15
15
1.0x
00:00/00:00
登录|注册

46 | 安全第一:渗透测试

使用哪些渗透测试工具
公司或团队是否开展渗透测试
避免安全漏洞导致的损失
识别主要漏洞
AppScan
Wifiphisher
sqlmap
Aircrack-ng
Nmap
入侵分析
维持访问权限
获取访问权限
安全扫描
规划和侦察
双盲测试
盲测
内部测试
外部测试
有针对性的测试
由专业安全人员模拟黑客,对系统进行攻击测试,找到隐藏的安全漏洞,保护系统安全
思考题
收益
工具
步骤
方法
定义
渗透测试

该思维导图由 AI 生成,仅供参考

你好,我是茹炳晟。今天我和你分享的主题是:安全第一之渗透测试。
随着互联网的发展,网络环境越来越复杂,各类软件涉及的领域也越来越多,这时系统与软件的安全问题就愈加重要了。各类隐私信息、财务信息等的泄露,稍有不慎就会造成难以挽回的损失。
所以,大多数的公司,尤其是中大型的公司,已经针对系统与软件的安全采取了很多手段。比如,安装杀毒软件、定期给系统打补丁、定期进行漏洞及安全扫描、测试并封杀应用自身的安全漏洞等等。
虽说这些措施已经可以防止大部分的安全漏洞了,但却还不足以完全保证系统的安全性。这个时候,渗透测试便以其独立的“风姿”出现在了你我的视野里。
那么,接下来我们就一起看看什么是渗透测试,以及具体如何执行渗透测试吧。

渗透测试的定义

渗透测试指的是,由专业安全人员模拟黑客,从其可能存在的位置对系统进行攻击测试,在真正的黑客入侵前找到隐藏的安全漏洞,从而达到保护系统安全的目的。
或许你会有这样的疑问,软件系统在研发阶段已经用了各种手段保证安全性,为什么还需要进行渗透测试呢?
其实,这就好比让开发人员自己做测试一样,虽说他们对自己一手开发出来的软件产品再熟悉不过了,但却也是最难测出漏洞的。因为,开发人员的惯性思维,会使得他们在面对很多的潜在问题时,都误以为这不是问题的,所以我们需要引入独立的测试人员。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

渗透测试在当今复杂的网络环境中变得愈发重要。本文介绍了渗透测试的定义和常用方法。渗透测试是由专业安全人员模拟黑客对系统进行攻击测试,以发现潜在的安全漏洞。文章提到了五种常用的测试方法,包括有针对性的测试、外部测试、内部测试、盲测和双盲测试。这些方法分别针对不同的测试对象和测试环境,以确保系统的安全性。通过本文的总结,读者可以快速了解渗透测试的重要性和常用方法,为保障系统安全提供了有益的参考。 文章还介绍了开展渗透测试的5个主要步骤,包括规划和侦察、安全扫描、获取访问权限、维持访问权限和入侵分析。此外,还分享了五种常用的渗透测试工具,如Nmap、Aircrack-ng、sqlmap、Wifiphisher和AppScan,以及它们的功能和适用场景。最后,文章总结了渗透测试的收益,强调了通过渗透测试可以识别主要漏洞、避免安全漏洞带来的损失,并树立良好的企业形象。 总的来说,本文全面介绍了渗透测试的重要性、常用方法、步骤和工具,为读者提供了全面的渗透测试知识概览。文章内容丰富,涵盖了渗透测试的方方面面,对于想要了解渗透测试的读者来说,是一份有益的参考资料。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《软件测试 52 讲》
新⼈⾸单¥68
立即购买
登录 后留言

全部留言(18)

  • 最新
  • 精选
  • Alice
    茹老师,介绍渗透测试时,可以介绍下具体的测试案例,测试工具及测试工具的测试原理么?谢谢

    作者回复: 用得最多的就是appscan

    2019-01-25
    2
  • Mark8287
    感谢作者的讲解,如果每篇文章下面有相关或推荐的资源就好了,比如渗透测试有哪些学习网站,资源等,谢谢。
    2018-10-31
    21
  • 赵韪灏
    如果只能用一款工具进行渗透测试,我选择burpsuite
    2019-06-27
    2
    6
  • (╯‵□′)╯︵┻━┻
    用过ASE,配置需要下功夫。配置好后,用起来还是比较方便的。开发最喜欢看报告里的修复案例,因为有代码解释。ASE还自带了轻量级缺陷管理和误报管理,每次扫描后自动更新已有缺陷。有些功能的设计需要多理解……去年出了AppScan on Cloud云端版,不需要单独配置自己的扫描服务器了,交互更加流畅简洁,动态静态扫描都支持。云端版称注册一个IBMid可以试用,https://appscan.ibmcloud.com
    2019-08-28
    4
  • 红娟
    打卡 扩展了测试的视野,现在公司的产品都安全加密这一个特殊模块和相关认证。
    2018-10-12
    3
  • 宁江孤影
    近期正好在做安全送检测试,用到了appscan,woodpecker,nmap, sqlmap等扫描工具,还有就是具体的一些web安全方面的:账号密码安全,会话安全,隐私安全,文件的上传下载,横纵向越权等,各类注入如sql注入,命令注入等,还有就是os安全,db安全,个人感觉渗透测试涵盖了太多的技术要点,能够跟着项目组参与完整的渗透测试,比较能够提升锻炼自己,也能找出差距进行补充知识
    2020-02-18
    2
  • 小老鼠
    对于一个中小型企业而言,安全测试需要配置安全测试工程师吗?另外安全工程师与安全测试工程师区别在哪儿?
    2018-12-01
    1
    2
  • 付晓杰
    渗透测试: 1.定义:是指由专业安全人员模拟黑客,从其可能入侵的位置对系统进行攻击测试,以达到在真正的黑客攻击之前找到隐藏的安全漏洞,从而保护系统安全的目的。 2.分类: (1)有针对性的测试 (2)外部测试 (3)内部测试 (4)盲测 (5)双盲测试 3.开展渗透测试的5个步骤: (1)规划和侦察 (2)安全扫描 (3)获取访问权限 (4)维持访问权限 (5)入侵分析 4.五款渗透测试工具: (1) Nmap (2)Aircrack-ng (3)sqlmap (4)Wifiphisher (5)AppScan
    2022-09-07归属地:上海
    1
  • bolo
    公司内使用的是burpsuite 这个工具
    2019-08-25
    1
  • 小昭
    现在的公司有专门的安全组,我们测试不能用appscan这种扫描工具,会触发安全警报……
    2022-02-19
收起评论
显示
设置
留言
18
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部