什么是网站渗透测试? 该如何做网站安全检测
发布时间:2019-01-05 22:51:13 所属栏目:电商 来源:sinesafe
导读:ASP站长网(http://www.aspzz.cn)了解到网站渗透测试的种类分2大类,一种 是白盒测试,一种是黑盒测试,我们来详细的剖析一下,网站的黑盒测试就是网站渗透技术人员并未获取任何网站的管理账号密码 ,没有任何的网站相关机密信息,手里只知道网站的地址,
ASP站长网(http://www.aspzz.cn)了解到网站渗透测试的种类分2大类,一种 是白盒测试,一种是黑盒测试,我们来详细的剖析一下,网站的黑盒测试就是网站渗透技术人员并未获取任何网站的管理账号密码 ,没有任何的网站相关机密信息,手里只知道网站的地址,模拟真实的攻击者对网站进行全面的 渗透测试,采用国内常用的渗透测试工具以及渗透测试技术对网站进行攻击入侵,来找到网站的 漏洞并对找到的漏洞进行安全风险评估以及会造成的安全损失有多少,形成一个整体的安全评估 报告。黑盒测试比较耗时耗力,有的甚至需要半个月一个月的进行渗透测试才能完全的找到漏洞 ,对渗透测试的技术要求也较高,国内渗透测试的工程师工资普遍可以达到1W以上。
那么什么是白盒测试?
网站的白盒测试最简单的来讲就是已经 获取到了网站的相关信息,包括网站的后台管理员账号密码,网站的源代码获取,网站的服务器系统权限,FTP账号密码都已获知 ,在这个前提下对网站进行渗透测试,这样可以全面的对网站漏洞进行检测与测试,比黑盒测试 找到的漏洞会更多,因为熟知了代码是如何写的,就会找到更多漏洞,白盒测试时间较短,渗透 测试结果较好,也可以精准的对网站漏洞进行修复,并提供安全报告以及网站安全防护方案。
在确定网站漏洞后,再进行详细的归总 ,看是否能拿下网站的管理权限,是否可以上传脚本木马进行控制网站,以及能否渗透拿到服务器的管理权限。制定详细的渗透 测试计划来达到攻击的目的。
对漏洞进行代码分析,包括检测出来的 漏洞是在哪里,通过这个漏洞可以获取那些机密信息,对于代码的逻辑漏洞也进行分析和详细的测试。接下来就是进行渗透攻击 ,对网站进行实战的攻击测试,通过利用工具来入侵网站,整个网站渗透测试过程总结到一个 安全报告,对于渗透测试出来的漏洞进行详细的记录,是什么代码导致什么的漏洞,以及修复 建议都要写到报告当中。 (编辑:惠州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |