问:如果测试人员不了解要进行渗透测试网站,赞成和反对的理由是什么?在理想状态下,测试人员应该是什么也不知道吗(为了更好的模仿攻击者的思维模式)? 答:对网站的渗透测试环境的零了解意味着渗透测试人员被告知很少的目标信息,可能只有它的URL,因此可以模仿真实的攻击者。 虽然对于预算和办公室政治的环境很有帮助,可以向老板提交报告证明即使不了解新网站的人也可以入侵进入,但是我对零了解的方法还有一些保留意见。我们知道一定百分比的攻击时来去网络边界内部的,或者来自有内部帮助的外部。如果你想要知道你的网站在所有现实情景中是否安全,零了解就不是必须的最好出发点。
……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:如果测试人员不了解要进行渗透测试网站,赞成和反对的理由是什么?在理想状态下,测试人员应该是什么也不知道吗(为了更好的模仿攻击者的思维模式)?
答:对网站的渗透测试环境的零了解意味着渗透测试人员被告知很少的目标信息,可能只有它的URL,因此可以模仿真实的攻击者。
虽然对于预算和办公室政治的环境很有帮助,可以向老板提交报告证明即使不了解新网站的人也可以入侵进入,但是我对零了解的方法还有一些保留意见。我们知道一定百分比的攻击时来去网络边界内部的,或者来自有内部帮助的外部。如果你想要知道你的网站在所有现实情景中是否安全,零了解就不是必须的最好出发点。
零了解的方法也有潜在的缺点,它返回结果比较慢。如果预先对测试人员介绍了系统的某些基础,就会节省时间,而在产品生产的时候,时间通常是最紧张的。这里最重要的变数之一是目标的状态:是在生产还是在开发?当测试产品系统的时候,你可能想要测试人员让你尽快了解所发现的漏洞,而不是等最后的报告。假设和测试人员的合同写的很合适,你可能就可以个给漏洞打补丁,并测试补丁。当然,有人会说把渗透测试人员作为安全的改进人员可以花最少钱得到最大的效果。
最后,不管你是否选择从零了解出发,记住在不触犯法律的情况下你不可能真正的复制现实世界。你必须假定你的攻击者准备好了犯法来完成他们的目标,但是很多企业可以给渗透测试人员免死金牌。所以,你想要你的渗透测试人员可以和犯罪黑客一样思考,并把非法渗透到系统的方法写下来给你。
底线是现实世界和渗透测试是两个不同的事情。如果有安全专家定期对产品中的潜在漏洞进行测试,而安全专家完全了解产品,而不是设置不现实的测试情景,你的安全资金可以以最好的方式支出。
作者
翻译
相关推荐
-
渗透测试人员必备技能:实施渗透测试的HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。
-
关于信息安全评估,需要get的重点
即使周期性持续地执行,安全评估也不是解决所有安全问题的完美方法。然而,可以肯定的一点是,如果选择忽视这些重要工作,历史悲剧肯定会再一次重复……
-
Kali Linux渗透测试五步曲
Kali Linux的设计目的是渗透测试。不管渗透测试者的起点是白盒测试、黑盒测试,还是灰盒测试,在用Kali或其它工具进行渗透测试时,需要遵循一些步骤。
-
如何在虚拟环境下测试数据分析?
由于预算限制以及对更大灵活性的需求,安全专家通常需要在小环境中实施和测试数据分析及处理,这种情况又该如何搞定呢?