基於Android設備的Kali Linux滲透測試教程第1章滲透測試
基於Android設備的Kali Linux滲透測試教程第1章滲透測試
滲透測試(Penetration Testing)是一種經過模擬攻擊者所採用的技術與方法,攻擊目標系統的安全控制措施,並取得訪問控制系統的安全測試方式。若是要進行滲透測試,必須有對應的工具。在Kali Linux中,集成了全部的滲透測試工具。本章將介紹滲透測試的基礎知識,以及如何在各類設備上安裝Kali Linux和遠程鏈接Kali Linux等。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》安全
1.1 什麼是滲透測試
滲透測試並無一個標準的定義。國外一些安全組織達成共識的通用說法是,滲透測試是經過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。滲透測試的過程並不是簡單地運行一些掃描器和自動化工具,該過程當中包括對系統的任何弱點、技術缺陷或漏洞的主動分析。這個分析是從一個攻擊者可能存在的位置來進行的,而且從這個位置有條件主動利用安全漏洞。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》網絡
1.1.1 滲透測試的流程
滲透測試與其它評估方法不一樣。一般的評估方法是根據已知信息資源或其它被評估對象,去發現全部相關的安全問題。滲透測試也能夠根據已知可利用的安全漏洞,去發現是否存在相應的信息資源。相比較而言,使用一般評估方法獲得的評估結果更具備全面性,而滲透測試的更注重安全漏洞的嚴重性。滲透測試一般有七個階段,以下所示:工具
q 前期交互階段:該階段一般是用來肯定滲透測試的範圍和目標的。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》測試
q 信息收集階段:在該階段須要採用各類方法來收集目標主機的信息,包括使用社交媒體網絡、Google Hacking技術、目標系統踩點等。spa
q 威脅建模階段:該階段主要是使用信息收集階段所獲取到的信息,來標識出目標系統上可能存在的安全漏洞與弱點。計算機網絡
q 漏洞分析階段:在該階段將綜合從前面幾個環節中獲取到的信息,從中分析和理解那些攻擊途徑是可行的。特別是須要重點分析端口和漏洞掃描結果,截取到服務的重要信息,以及在信息收集環節中獲得的其它關鍵信息。設計
q 滲透攻擊階段:該階段多是在滲透測試過程當中最吸引人的過程。然而在這種狀況下,每每沒有用戶所預想的那麼一路順風,而是曲徑通幽。在攻擊目標主機時,必定要清晰地瞭解在目標系統上存在這個漏洞。不然,根本沒法攻擊成功。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》orm
q 後滲透攻擊階段:該階段在任何一次滲透過程當中都是一個關鍵環節。該階段將以特定的業務系統做爲目標,識別出關鍵的基礎設施,並尋找客戶組織最具價值和嘗試進行安全保護的信息和資產。對象
q 報告階段:報告是滲透測試過程當中最重要的因素,使用該報告文檔能夠交流滲透測試過程當中作了什麼、如何作的以及最爲重要的安全漏洞與弱點。教程
1.1.2 滲透測試的分類
到如今爲止,你們已經對滲透測試的基本技術流程與環節有了一個初步的瞭解。接下來介紹一下滲透測試的兩種基本類型,分別是黑盒測試和白盒測試。白盒測試有時也被稱爲「白帽子」,是指滲透測試者在擁有客戶組織全部知識的狀況下進行的測試;而黑盒測試是指對攻擊主機一無所知的攻擊者所進行的滲透測試。兩種測試方法都擁有它們本身的優勢和弱點。下面分別介紹詳細介紹這兩種類型。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》
1.白盒測試
使用白盒測試,須要和客戶組織一塊兒工做,來識別出潛在的安全風險。客戶組織將會向用戶展現它們的系統與網絡環境。白盒測試最大的好處就是攻擊者將擁有全部的內部知識,並能夠在不須要懼怕被阻斷的狀況下任意地實施攻擊。而白盒測試的最大問題在於沒法有效地測試客戶組織的應急響應程序,也沒法判斷出它們的安全防禦計劃對檢測特定攻擊的效率。若是時間有限,或是特定的滲透測試環節(如信息收集並不在範圍以內),那麼白盒測試是最好的滲透測試方法。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》
2.黑盒測試
黑盒測試與白盒測試不一樣的是,通過受權的黑盒測試是設計成爲模擬攻擊者的入侵行爲,並在不瞭解客戶組織大部分信息和知識的狀況下實施的。黑盒測試能夠用來測試內部安全團隊檢測和應對一次攻擊的能力。
黑盒測試是比較費時費力的,同時須要滲透測試者具有更強的技術能力。它依靠攻擊者的能力經過探測獲取目標系統的系統。所以,做爲一次黑盒測試的滲透測試者,一般並不須要找出目標系統的全部安全漏洞,而只須要嘗試找出並利用能夠獲取目標系統訪問權代價最小的攻擊路徑,並保證不被檢測到。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》
不論測試方法是否相同,滲透測試一般具備兩個顯著特色。
q 滲透測試是一個漸進的而且逐步深刻的過程。
q 滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。本文選自《基於Android設備的Kali Linux滲透測試教程(內部資料)》
- 1. Kali Linux滲透測試
- 2. kali Linux滲透測試
- 3. Kali linux滲透測試(一)
- 4. Kali linux滲透測試(四)
- 5. [滲透測試][Kali]對DC-1靶機進行滲透測試
- 6. 基於Android設備的 Kali Linux滲透測試教程(內部資料)
- 7. 滲透測試(1):Virtualbox 安裝kali Linux
- 8. Kali Linux滲透測試——MSF基礎篇
- 9. Kali滲透測試——TLSSLed
- 10. kali滲透測試win7
- 更多相關文章...
- • Maven 構建 & 項目測試 - Maven教程
- • Lua 調試(Debug) - Lua 教程
- • ☆基於Java Instrument的Agent實現
- • Github 簡明教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。