《使用Nessus進行滲透測試》- 基礎

漏洞評估與滲透測試

在IT系統中漏洞能夠被定義爲在系統/架構潛在的弱點，能夠利用它攻擊系統。好比弱口令，能夠暴力破解。漏洞評估肯定系統中的漏洞。滲透測試基於漏洞評估，並增長了入侵測試。

漏洞評估的必要性

風險防範

風險包括：
•漏洞攻擊致使的財務損失

•組織的聲譽
•數據竊取
•保密失效危害
•不完整性危害
•不可用性危害

依從性危險

要符合相應的安全標準，好比：ISO 27001, PCI DSS和PA DSS等。

ISO 27001的部分標準下載：ISO-IEC_27002-2013 Code of practice for IS management (original).pdf和ISO-IEC_27001-2013 Requirements (original).pdf

PCI DSS和PA DSS的文檔參見：https://zh.pcisecuritystandards.org/minisite/en/

生命週期

建議基於測試的需求和業務目標，生命週期一般以下：
1.Scoping: 範圍肯定

2.Information gathering：信息收集
3.Vulnerability scanning：漏洞掃描
4.False positive analysis：負面分析
5.Vulnerability exploitation (Penetration Testing)：漏洞利用(滲透測試)
6.Report generation: 報告生成

範圍肯定

參考資料

• 做者博客：http://my.oschina.net/u/1433482

• 類型：翻譯加整理

• 書籍下載： Learning Nessus for Penetration Testing - 2014.pdf